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Geachte heer Asscher en mevrouw Klijnsma, 


Met de brief van 29 april 2014 hebben de Suwi-partijen UWV, SVB en de VNG u geïnformeerd over 
de maatregelen, die zij hebben getroffen naar aanleiding van het rapport van de Inspectie SZW 'De 
burger bediend" en de Privacy Impact Assessment Suwinet. Deze maatregelen zijn noodzakelijk 
voor het bewerkstelligen en borgen van veilige gegevensuitwisseling en gegevensgebruik via 
Suwinet en daarmee voor de bescherming van de persoonsgegevens. Als belangrijkste 
maatregelen noemen wij de verbetering van de governance Suwinet door de inrichting van het 
Opdrachtgeverberaad, de inhaalslag op de veiligheidsprestaties van gemeenten door middel van 
het verbeterplan van de VNG en de toezegging verdere aanvullende maatregelen te treffen en te 
onderzoeken. 

Uitvoering gevend aan deze toezegging heeft het Opdrachtgeversberaad het initiatief genomen om 
een programmaplan te realiseren met een breed pakket aan samenhangende maatregelen, gericht 
op het borgen van veilige gegevensuitwisseling en betere bescherming van persoonsgegevens, die 
via Suwinet in de uitvoering worden gebruikt. 

Het programmaplan "Borging veilige gegevensuitwisseling Suwinet", dat een uitwerking vormt van 
het u eerder toegezonden actieplan, bieden wij u hierbij aan. 

Vooraf 

De Suwipartijen benadrukken, dat de verbetering van de informatiebeveiliging permanent 
onderdeel uitmaakt van de uitvoering van de opgedragen taken. 

Het programmaplan is een gezamenlijk programmaplan van UWV, SVB en VNG uit hoofde van hun 
verantwoordelijkheid voor de instandhouding van Suwinet en van UWV/BKWI als verantwoordelijke 
voor het beheer van Suwinet. 

Wij kennen aan het plan grote betekenis toe voor de verdere verbetering van de veiligheid van het 
gebruik door de Suwipartijen van persoonsgegevens en beseffen de noodzaak van een adequate 
uitvoering van het plan. Wel merken wij op, dat de mate van impact van de uitvoering van de 
maatregelen door UWV, SVB en gemeenten - en daarmee samenhangend de realisatietijd - per 
uitvoeringsorganisatie aanzienlijk zal verschillen. Deze verschillen hangen niet alleen samen met 
verschil in organisatie en aansturing tussen UWV en SVB enerzijds en gemeenten anderzijds, maar 
ook in het wisselend niveau van beveiliging en bescherming van persoonsgegevens. Wij verwijzen 
in dit verband naar het verbeterplan van de VNG om de beveiliging van gemeenten op het vereiste 
niveau te brengen en de bij UWV en SVB lopende optimaliseringinitiatieven. 

De verantwoordelijkheid voor de implementatie en realisatie van de maatregelen ligt bij de 
afzonderlijke partijen zelf. Dit geldt ook voor de monitoring en het afleggen van verantwoording 
over het gebruik van gegevens en de borging van de privacy. 
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Het programmaplan 

Het programmaplan bevat de opsomming van de maatregelen, die de Suwipartijen in samenhang 
met het verbeterplan van de VNG gezamenlijk en afzonderlijk nemen, geordend naar categorie, 
prioriteit en volgtijdelijkheid. De onderlinge samenhang van de afzonderlijke maatregelen is steeds 
aangegeven. Verder bevat het programmaplan maatregelen, waarvoor het initiatief bij het 
ministerie van SZW hoort en beheermaatregelen, waarvoor UWV als beheerder Suwinet 
verantwoordelijk is. 

Maatregelen Suwipartijen 

Van de maatregelen voor de Suwipartijen hebben de ontwikkeling en invoering van een meer 
fijnmazige autorisatiestructuur bij gemeenten en de verbetering van de logging en 
gebruikersrapportages de hoogste prioriteit (maatregelen categorie 1). 

De ontwikkeling en vaststelling van aansluitvoorwaarden en gebruiksvoorwaarden Suwinet-inlezen 
en de voorbereiding en uitvoering van een ketenbrede awareness campagne hebben eveneens de 
hoogste prioriteit en zullen in oktober 2014 worden gestart (maatregelen categorie 2). 

De derde categorie maatregelen betreft onderzoeksmaatregelen die antwoord moeten geven op de 
vraag of en op welke wijze richtlijnen en beleid moeten worden aangepast. Het gaat daarbij om de 
afstemming van het beleid inzake misbruik van gegevens door medewerkers, de herijking van het 
normenkader en de verantwoordingsrichtlijn Suwi in het licht van BIR en BIG en het beleid inzake 
telewerken en doorlevering van gegevens. 

Na realisatie van de in categorie 1 genoemde maatregelen kan antwoord worden gegeven op de 
vraag of en welke nadere maatregelen nodig zijn (maatregelen categorie 4). Daartoe zal worden 
onderzocht of en in welke mate het gebruik van zoeksleutels Suwinet-Inkijk kan worden beperkt. 
Ook zal worden onderzocht of de toegang van gebruikers tot Suwinet kan worden beperkt tot 
aanvragers, uitkeringsontvangers en hun aanverwanten (medebewoners, ex-partners). Als derde 
maatregel in deze categorie wordt onderzocht of en in welke mate verzwaring van het 
authenticatieniveau voor gegevens van bepaalde risicoklassen bijdraagt aan verbetering van een 
veilig gebruik. De impact van deze maatregelen op de bedrijfsprocessen en systemen zullen daarbij 
in beeld worden gebracht. 

Voor (een deel van) de door de Suwipartijen te treffen maatregelen geldt, dat het BKWI die zal 
moeten faciliteren na daartoe een opdracht te hebben ontvangen. 

Maatregelen SZW 

Zoals wij ook in onze brief van 29 april aangaven zullen de - door de Suwipartijen te treffen - 
maatregelen de geconstateerde tekortkomingen inzake een veilig gebruik van gegevens niet 
kunnen wegnemen zonder gelijktijdige herijking en aanpassing van wet- en regelgeving. Voor een 
veilig gebruik van gegevens is randvoorwaardelijk, dat ook gemeenten wettelijk verplicht 
verantwoording afleggen over het gebruik en de bescherming van persoonsgegevens. Wij vragen u 
om bij de minister van BZK aan te dringen op een wettelijke basis hiertoe. Daarnaast is herijking 
van de sectorspecifieke regelgeving Suwi inzake gegevensuitwisseling noodzakelijk zoals in de brief 
aangegeven. 

In aanvulling hierop bevat het programmaplan enkele maatregelen, die aanpassing van de 
regelgeving vergen om een veiliger gebruik van gegevens te kunnen bewerkstelligen. Wij vragen u 
het initiatief te willen nemen voor de in hoofdstuk 2 van het programmaplan opgenomen 
maatregelen. 

Beheermaatregelen UWV 

Tot slot bevat het programmaplan een aantal beheersmaatregelen systeem Suwinet, die UWV en 
BKWI zullen treffen uit hoofde van hun verantwoordelijkheid van het beheer van Suwinet. De 
maatregelen betreffen de actualisering van het beveiligingsplan BKWI en van het continuiteitsplan 
Suwinet en de vaststelling van een procedure inzake beveiligingsincidenten en van een procedure 
tot het autoriseren van de gebruikersbeheerder. 
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Financiering 

De Suwi-parters spreken hun waardering uit voor het feit dat uw departement in 2014 € 500.000 
ter beschikking stelt voor het eerste deel van de uitvoering van het programmaplan. De Suwi- 
partijen dragen zelf bij door het beschikbaar stellen van capaciteit voor de werkgroepen en de 
projectcoördinatie. Wij stellen voor om uit het bovengenoemde budget vooralsnog de 
programmamanager van de Suwi-partijen te financieren en de incidentele kosten van maatregel 2. 
Van de overige maatregelen zal de financiële impact eerst kunnen worden vastgesteld na de 
onderzoeksfase of na de nadere uitwerking van de maatregel. Zodra wij een goed inzicht hebben in 
de incidentele en structurele kosten van de maatregelen willen wij met u in overleg treden over de 
financiering daarvan. 


Programmaorganisatie 

Om de uitvoering van de maatregelen Suwipartijen te borgen stelt het Opdrachtgeverberaad een 
programmamanager aan. Daarnaast stellen UWV, SVB, VNG en BKWI binnen hun eigen 
organisaties ieder een projectleider aan. 

Het opdrachtgeverberaad zal samen met de programmamanager de verdere organisatie voor de 
uitvoering van het programmaplan inrichten. Voor de verdere uitwerking van de 
programmaorganisatie verwijzen wij u naar het programmaplan. 

Zoals boven aangegeven is een gelijktijdige herijking van de regelgeving van groot belang voor het 
slagen van de maatregelen in het programmaplan. Daarnaast is afstemming over inhoud en 
voortgang van de maatregelen Suwipartijen en maatregelen SZW tussen de Suwipartijen en SZW 
noodzakelijk voor de realisatie van de maatregelen. Daarom verzoeken wij u voor de maatregelen 
SZW een aanspreekpunt (projectleider) binnen SZW aan te wijzen, die tevens zorg draagt - samen 
met de programmanager - voor de inrichting van gezamenlijke werkgroepen, de planning in relatie 
tot de benodigde en beschikbare capaciteit en de voortgangsbewaking van het programma. 

In de fase van de totstandkoming van het programmaplan hebben wij ambtelijk reeds constructief 
samengewerkt met uw departement. Wij zien de voortzetting van deze samenwerking als een 
noodzakelijke voorwaarde voor het slagen van het plan. 

Wij vertrouwen erop, dat het programmaplan een adequate reactie vormt op de bevindingen in de 
Privacy Impact Assessment Suwinet. Wij stellen voor om nog in oktober 2014 afspraken te maken 
over het in lijn brengen en afstemmen van de maatregelen Suwipartijen met de maatregelen SZW. 
Op basis hiervan kan een programmaorganisatie worden ingericht die alle voornoemde 
maatregelen omvat. 

Vanwege het belang van een goede uitvoering van het programma voor het bewerkstelligen en 
borgen van veilige gegevensuitwisseling en gegevensgebruik via Suwinet en voor de bescherming 
van de persoonsgegevens stellen wij een periodiek overleg van het Opdrachtgeverberaad met SZW 
voor over de voortgang van de uitvoering van de maatregelen. 


Uw reactie op het programmaplan en de daarin opgenomen voorstellen en adviezen zien wij gaarne 


tegemoet. 


Hoogachtend, 

VNG 



J. Kriens 

Voorzitter Directieraad 



SVB 



Mw. drs. N.A. Vermeulen MBA 
Voorzitter Raad van Bestuur 
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Management samenvatting 


Naar aanleiding van het rapport van de Inspectie SZW ‘De burger bediend’ en de Privacy Impact Assessment 
(PIA) Suwinet hebben de Suwi-partijen begin 2014 een aantal maatregelen getroffen. Deze maatregelen bleken 
noodzakelijk voor het bewerkstelligen en borgen van veilige gegevensuitwisseling en gegevensgebruik via 
Suwinet, en daarmee voor de bescherming van de persoonsgegevens. Als belangrijkste maatregelen noemen wij 
de verbetering van de govemance Suwinet door de inrichting van het Opdrachtgeverberaad, de inhaalslag op de 
veiligheidsprestaties van gemeenten door middel van het verbeterplan van de VNG en de toezegging verderé 
aanvullende maatregelen te treffen en te onderzoeken. 

Uitvoering gevend aan deze toezegging heeft het Opdrachtgeverberaad het initiatief genomen om een 
programmaplan te realiseren met een breed pakket aan samenhangende maatregelen, gericht op het borgen van 
veilige gegevensuitwisseling en betere bescherming van persoonsgegevens, die via Suwinet in de uitvoering 
worden gebruikt. Het programmaplan “Borging veilige gegevensuitwisseling Suwinef ligt nu voor. 

Het programmaplan is een gezamenlijk plan van UWV, SVB en VNG uit hoofde van hun verantwoordelijkheid 
voor de instandhouding van Suwinet en van UWV/BKWI als verantwoordelijke voor het beheer van Suwinet. 

Wel merken de Suwi-partijen op, dat de mate van impact van de uitvoering van de maatregelen door UWV, SVB 
en gemeenten - en daarmee samenhangend de realisatietijd - per uitvoeringsorganisatie aanzienlijk zal 
verschillen. Deze verschillen hangen niet alleen samen met verschil in organisatie en aansturing tussen UWV en 
SVB enerzijds en gemeenten anderzijds, maar ook met het wisselend niveau van beveiliging en bescherming van 
persoonsgegevens. Wij verwijzen in dit verband naar het verbeterplan van de VNG om de beveiliging van 
gemeenten op het vereiste niveau te brengen en de bij UWV en SVB lopende optimaliseringinitiatieven. 

Het programmaplan bevat de opsomming van de maatregelen, die de Suwipartijen in samenhang met het 
verbeterplan van de VNG gezamenlijk en afzonderlijk nemen, geordend naar categorie, prioriteit en 
volgtijdelijkheid. De onderlinge samenhang van de afzonderlijke maatregelen is steeds aangegeven. Verder bevat 
het programmaplan maatregelen, waarvoor het initiatief bij het ministerie van SZW hoort en beheermaatregelen, 
waarvoor UWV als beheerder Suwinet verantwoordelijk is. 

Maatregelen Suwi-partijen 

De maatregelen die de Suwi-partijen nemen, zijn geordend naarde mate van prioriteit die de Suwi-partijen aan de 
maatregelen geven en de volgtijdelijkheid van de maatregelen. De maatregelen zijn daartoe in vier categorieën 
onderverdeeld. Per categorie beschrijven de Suwi-partijen welke mate van prioriteit zij aan de maatregelen 
toekennen en wat de samenhang is met andere maatregelen. Hierdoor ontstaat een volgtijdelijkheid in 
maatregelen. 

De Suwi-partijen nemen de volgende maatregelen: 

Categorie 1: Prioritaire maatregelen randvoorwaardelijk voor categorie 4 

1. Ontwikkeling en invoering van een meer fijnmazige autorisatiestructuur bij gemeenten 

2. Verbetering logging en gebruiksrapportages 

Categorie 2 : Prioritaire maatregelen met een meer autonoom karakter 

3. Ontwikkeling en vaststelling aansluitvoorwaarden en gebruiksvoorwaarden Suwinet-inlezen 

4. Ketenbrede awareness-campagne 

Categorie 3: Onderzoeksmaatregelen die duiden of en hoe richtlijnen en beleid aanpassing behoeven 

5. Beleid inzake misbruik van gegevens door medewerkers 

6. Herijking normenkader en verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 

7. Telewerken en doorlevering van gegevens 
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Categorie 4 : Vervolgmaatregelen op maatregelen categorie 1 

8. Beperking zoekmogelijkheden in Suwinet-inkijk 

9. Beperking toegang Suwinet tot personen relevant voor werkzaamheden medewerker 

10. Analyse van gegevens van bepaalde risicoklassen 

De maatregelen van categorie 1 dragen direct bij aan een veiliger gebruik van gegevens via Suwinet. Deze 
maatregelen zijn tevens randvoorwaardelijk voor het realiseren van de maatregelen die behoren tot categorie 4. 
De Suwi-partijen willen om die reden hoge prioriteit geven aan de maatregelen van categorie 1. 

Naast de maatregelen uit categorie 1 dienen ook de maatregelen uit categorie 2 prioriteit te krijgen. Prioriteit voor 
maatregel 3 is van groot belang, omdat uit onderzoek is gebleken dat de aansluitvoorwaarden en 
gebruiksvoorwaarden Suwinet op Suwinet-inlezen moeten worden aangepast. Maatregel 4 behoeft prioriteit, 
omdat het van groot belang is dat medewerkers en managers in de hele Suwi-keten zich nog meer bewust 
worden van de consequenties van het inzien en gebruik van persoonsgegevens. Bij de ketenbrede awareness 
campagne wordt aandacht besteed aan de maatregelen 5, 8, 9 en 10. Dit is een tweede reden om ook deze 
maatregel prioriteit te geven. 

Met de maatregelen van categorie 3 willen de Suwi-partijen onderzoeken of beleid en richtlijnen dienen te worden 
aangepast. Deze onderzoeken kunnen op korte termijn starten en zullen naar verwachting op een later moment 
leiden tot concrete acties. De realisatie van deze maatregelen heeft minder prioriteit dan de realisatie van de 
maatregelen in categorie 1 en 2, maar deze onderzoeken zullen wel op korte termijn worden opgestart. 

Na realisatie van de maatregelen uit categorie 1 wordt onderzocht of en welke van de in categorie 4 genoemde 
maatregelen 8, 9 en 10 aanvullend nodig zijn. De maatregelen van categorie 4 zullen tevens aandacht krijgen bij 
de ketenbrede awareness-campagne (maatregel 4). 

De Suwi-partijen hebben vertrouwen dat, met de hierboven beschreven maatregelen, het uitwisselen en gebruik 
van gegevens via Suwinet veiliger en beter wordt. De maatregelen dragen tevens bij aan het wegnemen van de - 
door de Inspectie van SZW en de in de PIA - gesignaleerde kwetsbaarheden. Hierbij merken de Suwi-partijen op 
dat zij bij deze maatregelen spanning signaleren tussen enerzijds de wens om de toegang tot persoonsgegevens 
te beperken; en anderzijds de wens om de uitvoering van complexe wet- en regelgeving (waarbij steeds meer 
gegevens van meer personen moeten worden ingezien) 1 op een zo efficiënt mogelijke manier in te richten. 
Binnen dit kader zullen de Suwi-partijen zich maximaal inspannen om de kwetsbaarheden op het gebied van 
privacy en beveiliging rondom Suwinet te minimaliseren. Dit betekent dat de invoering van een maatregel mede 
afhankelijk zal zijn van een weging van de impact van de maatregel op de inrichting van de bedrijfsprocessen en 
systemen. 

Maatregelen Ministerie van SZW 

De maatregelen die de Suwi-partijen nemen, inzake een veilig gebruik van gegevens, zijn op zichzelf echter niet 
voldoende. Ook de wet- en regelgeving rondom Suwinet moet worden herijkt. Het initiatief hiervoor ligt bij SZW. 
De Suwipartijen beseffen, dat de herijking een gezamenlijke inzet vereist en bieden daartoe ondersteuning aan. 

De maatregelen waarvoor de Suwi-partijen SZW vragen om het initiatief te nemen, zijn: 

11. Herijken van wet- en regelgeving SUWI 

12. Levering van informatie in plaats van gegevens 

13. Transparantie naarde burger 

14. Afsluitbeleid 

De Suwi-partijen zien hier een tweedeling tussen de maatregelen 11 en 14, waarmee op korte termijn moet 
worden gestart, en de maatregelen 12 en 13, die een langere beleidsvoorbereidende periode zullen vergen. 


1 Voorbeelden zijn: verhaal op ex-partner, introductie kostendelersnorm, controles i.v.m. fraude en handhaving. 
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Tot slot bevat het programmaplan een aantal beheermaatregelen voor het systeem Suwinet, die UWV en BKWI 
zullen treffen uit hoofde van hun verantwoordelijkheid van het beheer van Suwinet. De maatregelen betreffen de 
actualisering van het beveiligingsplan BKWI, van het continuïteitsplan Suwinet en de vaststelling van een 
procedure inzake beveiligingsincidenten en van een procedure tot het autoriseren van de gebruikersbeheerder. 

Uitvoering en verantwoording 

De Suwi-partijen richten op korte termijn een programma in om de voortgang van de maatregelen te borgen. 
Hiervoor stelt het Opdrachtgeverberaad een programmamanager aan die direct rapporteert aan het 
Opdrachtgeverberaad. VNG, UWV en SVB stellen elk een projectleider aan die alle zaken omtrent het 
Programmaplan binnen de desbetreffende organisatie coördineert. Het Opdrachtgeverberaad heeft ervoor 
gekozen om de programmamanager operationeel gezien bij de VNG te positioneren. De reden hiervoor is dat de 
grootste verbeterslag op het gebied van privacy en beveiliging bij de gemeenten moet worden gerealiseerd. 
Vanwege de samenhang tussen de maatregelen, vraagt het Opdrachtgeverberaad het Ministerie van SZW om 
tevens een programma/project in te richten voor de maatregelen die het Ministerie zal nemen, en te zorgen voor 
één aanspreekpunt. 

Om de uitvoering en voortgang van de maatregelen te borgen, zal de stand van zaken van de maatregelen uit het 
Programmaplan bij iedere vergadering van het Opdrachtgeverberaad worden besproken. Het Programmaplan 
wordt een vast agendapunt bij de vergaderingen van het Opdrachtgeverberaad. 

Het Opdrachtgeverberaad zal de bewindslieden van SZW informeren over de uitvoering van het Programmaplan 
en de daarin opgenomen maatregelen door middel van een halfjaarlijkse rapportage. De eerste halfjaarlijkse 
rapportage omvat het tijdvak oktober 2014 tot en met maart 2015 en zal ultimo april 2015 worden opgeleverd. De 
verantwoordelijkheid voor de implementatie en realisatie van de maatregelen ligt bij de afzonderlijke partijen zelf. 
Dit geldt ook voor de monitoring en het afleggen van verantwoording over het gebruik van gegevens en de 
borging van de privacy. 

Tevens vindt het Opdrachtgeverberaad het belangrijk dat het Ministerie van SZW wordt betrokken bij de realisatie 
van het Programma van de Suwi-partijen, en dat de Suwi-partijen worden betrokken bij de realisatie van het 
Programma/project van SZW. Hierover wil het Opdrachtgeverberaad graag afspraken maken met het Ministerie. 

Tot slot treedt het Opdrachtgeverberaad graag met het Ministerie van SZW in overleg over de financiering van de 
uit het Programmaplan voortkomende incidentele en structurele kosten, en over de keuzes die gemaakt moeten 
worden indien de kosten gezamenlijk het beschikbaar gestelde budget overschrijden. 
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Inleiding 


De afgelopen jaren is het aantal gegevensuitwisselingen via Suwinet toegenomen. Hiervoor zijn verschillende 
redenen te benoemen, zoals de toenemende digitalisering, het uitvoeren van nieuwe wet- en regelgeving 
waarvoor gegevensuitwisseling een vereiste is, en een overheid die meervoudig gebruik van gegevens stimuleert. 
Naast de toename van het aantal gegevensuitwisselingen tussen meerdere partijen, worden er ook steeds meer 
soorten gegevens uitgewisseld. 

Suwinet is een van de transportmiddelen die deze gegevensuitwisselingen mogelijk maakt. Met de toename van 
gegevensuitwisselingen, is ook het gebruik van Suwinet toegenomen. Recent zijn er een aantal onderzoeken 
gedaan die de beveiliging en privacy rondom Suwinet centraal stellen. Het gaat daarbij met name om het 
onderzoek van de Inspectie SZW naar gemeentelijk gebruik Suwinet en het Privacy Impact Assessment (PIA) 
naar de wetgeving, afspraken, infrastructuur en organisatie rondom Suwinet. De Minister en Staatssecretaris van 
SZW hebben vervolgens aan SVB, VNG en UWV gevraagd om gezamenlijk aan te geven welke maatregelen de 
partijen naar aanleiding van deze onderzoeken gaan nemen, om gegevensuitwisseling via Suwinet en het gebruik 
van gegevens via Suwinet beter en veiliger te maken. In het verlengde daarvan heeft het Ministerie van SZW een 
aantal prioriteiten benoemd in de Meibrief voor BKWI. De Suwi-partijen hebben naar aanleiding hiervan samen 
met BKWI passende maatregelen uitgewerkt. Een eerste inventarisatie van deze maatregelen heeft UWV in het 
Actieplan opgenomen, dat met de brief van 26 juni 2014 aan de Minister van SZW is gezonden. In de brief is 
aangegeven, dat het Actieplan wordt opgenomen in een breder Programmaplan van de Suwi-partijen zelf. 

Eind 2013 is op bestuurlijk niveau het Opdrachtgeverberaad Suwinet ingericht met BKWI als opdrachtnemer. 
Bestuursleden van SVB, VNG en UWV nemen zitting in het Opdrachtgeverberaad. Het Opdrachtgeverberaad 
heeft de verantwoordelijkheid op zich genomen om een Programmaplan op te stellen, wat een breed scala aan 
maatregelen bevat om het uitwisselen en het gebruik van gegevens via Suwinet veiliger en beter te maken. 

Het Programmaplan 'Borging veilige gegevensuitwisseling via Suwinet’ bevat een overzicht van de maatregelen 
die de Suwi-partijen gezamenlijk nemen 2 . Deze maatregelen worden beschreven in hoofdstuk 1. Zij dienen ter 
bevordering van een veiliger gebruik van gegevens via Suwinet. De maatregelen waarbij de Suwi-partijen het 
Ministerie van SZW vragen om initiatief te nemen, zijn beschreven in Hoofdstuk 2. Hoofdstuk 3 bevat een aantal 
aanvullende maatregelen die UWV 3 en BKWI nemen ter verbetering van het beheer van Suwinet, naar aanleiding 
van de Meibrief en de bevindingen van het CBP bij BKWI. Het Programmaplan bevat zo een integraal overzicht 
van alle gezamenlijke maatregelen die worden ingezet om de uitwisseling van gegevens, en het gebruik van 
gegevens via Suwinet veiliger en beter te maken. 

Tot slot beschrijven de Suwi-partijen in hoofdstuk 4 hoe zij de uitvoering van het Programmaplan organiseren, 
hoe zij de voortgang monitoren, en hoe zij verantwoording afleggen aan het Opdrachtgeverberaad en aan het 
Ministerie van SZW over de voortgang van de maatregelen in het Programmaplan. Tevens geven de Suwi- 
partijen aan welke effecten en resultaten zij beogen te bereiken met het Programmaplan en hoe zij samen met 
het Ministerie van SZW afspraken willen maken over de financiering van de maatregelen. 

Bijlagen 1 en 2 bevatten informatie over de samenhang tussen de in dit Programmaplan opgenomen maatregelen 
en een schematisch overzicht van de maatregelen, voorzien van planning en verantwoordelijkheidsverdeling. 


2 VNG en gemeenten, hebben naar aanleiding van diverse onderzoeken al eerder verbetermaatregelen ingezet. Deze zijn 
opgenomen in het Verbeterplan van VNG en overlappen voor een klein deel met het Programmaplan, bijvoorbeeld met 
betrekking tot de gebruiksrapportages op logging. 

3 UWV is volgens de Wet SUWI de beheerder van het systeem Suwinet. Het feitelijke beheer is belegd bij een apart en 
herkenbaar organisatieonderdeel van UWV, BKWI. De Suwi-partijen zijn gezamenlijk opdrachtgever van BKWI. 
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1 Maatregelen door de Suwi-partijen 


Alvorens over te gaan op de maatregelen die de Suwi-partijen nemen, wordt in paragraaf 1.1 nadere uitleg 
gegeven over de verschillen in positionering van de Suwi-partijen ten opzichte van gegevensuitwisseling via 
Suwinet en over de opbouw en samenstelling van het Programmaplan (paragraaf 1.2 ). In paragraaf 1.3 worden 
de maatregelen beschreven die de Suwi-partijen nemen. 


1.1 Positionering van de Suwi-partijen t.o.v. gegevensuitwisseling via 
Suwinet 

Er zijn verschillen tussen de ZBO’s UWV en SVB enerzijds, en de gemeenten anderzijds. Hieronder zijn deze 
verschillen benoemd. Kennis van de verschillen helpt om de soms uiteenlopende positionering per maatregel 
beter te begrijpen. De verschillen op een rij: 

• UWV en SVB zijn centraal geleide organisaties. Het Ministerie van SZW is opdrachtgever van UWV en SVB. 
Zij kennen één Raad van Bestuur, die verantwoordelijk is voor beleid, uitvoering en die verantwoording aflegt 
aan de Minister van SZW. Dit ligt anders bij de 403 gemeenten. Gemeenten zijn autonoom. Er is geen 
hierarchische verhouding tussen de gemeenten en de VNG. UWV en SVB kennen een andere 
verantwoordingsprocedure over het gebruik van Suwinet dan gemeenten. Zij verantwoorden zich in hun 
Jaarverslagen aan de Minister van SZW. Gemeenten kennen een dergelijke verplichting niet. De VNG wil 
hiertoe graag de gemeenteraden sterker in hun rol zetten en heeft het Ministerie van BZK om wettelijke 
verankering van een verantwoordingsplicht met betrekking tot informatiebeveiliging gevraagd. Bij gemeenten 
wordt op 403 plaatsen in het land gecontroleerd, bij de respectievelijke ZBO’s alleen binnen de eigen 
organisatie. 

• De ZBO’s zijn Suwi-partij voor alle wettelijke taken die zij uitvoeren. Dit geldt niet voor gemeenten. Voor het 
uitvoeren van de WWB zijn gemeenten Suwi-partij, maar voor de uitvoering van hun andere taken zijn zij dit 
niet. Gemeenten worden daardoor geconfronteerd met verschillende wettelijke regimes voor het gebruik van 
gegevens. Uitvoeringstechnisch is dit complex voor gemeenten . 

• De ZBO's werken met een beperkt aantal eigen informatiesystemen. Het ICT-landschap van gemeentelijke 
sociale diensten is meer divers. De meeste gemeenten nemen deze systemen af van commerciële 
leveranciers. 

Het vertrekpunt van de Suwi-partijen per maatregel is vaak verschillend. De impact van de invoering van de 
maatregelen en - daarmee samenhangend, de realisatietijd - kan daardoor per afzonderlijke Suwi-partij (UWV, 
SVB en gemeenten) aanzienlijk verschillen. Deze verschillen hangen niet alleen samen met verschil in 
organisatie en aansturing tussen UWV en SVB enerzijds en gemeenten anderzijds, maar ook in het wisselend 
niveau van beveiliging en bescherming van persoonsgegevens. Wij verwijzen in dit verband naar het verbeterplan 
van de VNG om de beveiliging van gemeenten op het vereiste niveau te brengen en de bij UWV en SVB lopende 
optimaliseringinitiatieven. De partijen geven hierdoor ook vaak een iets andere invulling aan de maatregel. 


1.2 Samenstelling maatregelen 

Met dit Programmaplan beogen de Suwi-partijen de belangrijkste kwetsbaarheden en risico’s - omtrent het 
uitwisselen van gegevens en het gebruik van gegevens via Suwinet - te verminderen dan wel weg te nemen. De 
maatregelen zijn gericht op zowel Suwinet-inkijk 4 als op Suwinet-inlezen 5 . De maatregelen zien toe op het 

4 
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verbeteren van de privacy en beveiliging rondom het gebruik van deze applicaties. 
Uit onderzoek is gebleken dat de aansluitvoorwaarden en gebruiksvoorwaarden Suwinet op Suwinet-inlezen 
moeten worden aangepast. In dit Programmaplan is daarom een aparte, aanvullende maatregel opgenomen voor 
de applicatie Suwinet-inlezen. 

De maatregelen die de Suwi-partijen nemen, zijn geordend naar de mate van prioriteit die de Suwi-partijen aan de 
maatregelen geven en de volgtijdelijkheid van de maatregelen. De maatregelen zijn daartoe in vier categorieën 
onderverdeeld. Per categorie beschrijven de Suwi-partijen welke mate van prioriteit zij aan de maatregelen 
toekennen en wat de samenhang is met andere maatregelen. Hierdoor ontstaat een volgtijdelijkheid in 
maatregelen. 

De Suwi-partijen nemen de volgende maatregelen: 

Categorie 1: Prioritaire maatregelen randvoorwaardelijk voor categorie 4 

1. Ontwikkeling en invoering van een meer fijnmazige autorisatiestructuur bij gemeenten 

2. Verbetering logging en gebruiksrapportages 

Categorie 2 : Prioritaire maatregelen met een meer autonoom karakter 

3. Ontwikkeling en vaststelling aansluitvoorwaarden en gebruiksvoorwaarden Suwinet-inlezen 

4. Ketenbrede awareness-campagne 

Categorie 3: Onderzoeksmaatregelen die duiden of en hoe richtlijnen en beleid aanpassing behoeven 

5. Beleid inzake misbruik van gegevens door medewerkers 

6. Herijking normenkader en verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 

7. Telewerken en doorlevering van gegevens 
Categorie 4 : Vervolgmaatregelen op maatregelen categorie 1 

8. Beperking zoekmogelijkheden in Suwinet-inkijk 

9. Beperking toegang Suwinet tot personen relevant voor werkzaamheden medewerker 

10. Analyse van gegevens van bepaalde risicoklassen 

1.3 Maatregelen door de Suwi-partijen 

In deze paragraaf wordt een beschrijving gegeven van de maatregelen, die de Suwi-partijen gezamenlijk nemen. 
Per maatregel (of soms per categorie) geven de Suwi-partijen aan welke prioriteit zij aan de maatregel 
toekennen, wat het verwachte effect is, wie verantwoordelijk is, wat de planning is, en wat zij van het Ministerie 
van SZW vragen om de maatregel te kunnen realiseren. Tevens wordt kort de samenhang met andere 
maatregelen benoemd. Voor een uitgebreidere omschrijving van de samenhang tussen alle maatregelen wordt 
verwezen naar bijlage 1. Voor een schematisch overzicht waarin per maatregel informatie wordt gegeven over de 
verantwoordelijkheid, planning en kosten, wordt verwezen naar bijlage 2. 


5 Suwinet-inlezen biedt professionals van overheidsorganisaties de mogelijkheid om gegevens van diverse bronnen direct in de 
eigen bedrijfsapplicatie in te lezen en voor in te vullen in e-formulieren. 
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Maatregel 1: Ontwikkeling en invoering van 
een meer fijnmazige autorisatiestructuur bij 
gemeenten 


Maatregelen categorie 1: Prioritaire maatregelen 
randvoorwaardelijk voor alle andere maatregelen 


Wat stellen de Suwi-partijen voor? 

VNG gaat de autorisaties bij de gemeenten 
doorlichten en zal een advies uitbrengen aan de 
gemeenten ter verbetering van de 
autorisatiestructuur bij gemeenten. Bij de ZBO’s 
is gebleken dat de huidige autorisatiestructuur 
fijnmazig is. 

Met deze maatregel zullen gemeenten een 
aantal gesignaleerde kwetsbaarheden uit de 
PIA wegnemen. Het gaat onder andere om het 
feit dat een groot aantal gebruikers van Suwinet 
toegang heeft tot relatief veel gegevens. Via het 
autorisatiebeleid kan deze toegang toegekend 
en beperkt worden. Een goede toedeling van 
rollen en autorisaties (aan de hand van functies 
van medewerkers) zorgt ervoor dat 
medewerkers zoveel als mogelijk worden 
beperkt in de gegevens die zij kunnen inzien. 
De Suwi-partijen merken hierbij op dat het voor 
de uitvoering van een groot aantal wettelijke 
taken nodig blijft om een grote set gegevens in 
te kunnen zien 6 . Door een goede toedeling van 
autorisaties is het echter wel mogelijk om goed 
inzichtelijk te maken welke medewerkers breed 
geautoriseerd zijn. Hier kan vervolgens gericht 
op worden gecontroleerd (zie maatregel 2). 


Maatregel 1: Ontwikkeling en invoering van een meer 
fijnmazige autorisatiestructuur bij gemeenten 
Maatregel 2: Verbetering logging en gebruiksrapportages 

De maatregelen van categorie 1 dragen direct bij aan een 
veiliger gebruik van gegevens via Suwinet. Deze maatregelen 
zijn tevens randvoorwaardelijk voor het realiseren van de 
maatregelen die behoren tot categorie 4. De Suwi-partijen 
willen om die reden de hoogste prioriteit geven aan deze twee 
maatregelen. 

De Suwi-partijen zijn ieder zelf verantwoordelijk voor de 
invulling van de acties die zij nemen binnen hun eigen 
organisaties. VNG en UWV (in de rol als bronhouder) 
inventariseren doelbinding en proportionaliteit van de 
getoonde gegevens op de pagina’s bij medewerkers van 
gemeenten. Wanneer uit deze inventarisatie concrete acties 
voortkomen, zullen het Opdrachtgeverberaad en BKWI de 
impact, planning, kosten en haalbaarheid in beeld brengen. 
Op dat moment kunnen de Suwi-partijen ook een oordeel 
geven over de impact in relatie tot de kosten en hetgeen zij 
van het Ministerie van SZW vragen. Het is wel al duidelijk dat 
de impact van maatregel 1 zeer groot is voor de gemeenten 
en mogelijk ook voor BKWI. Dit geldt ook voor maatregel 2. 

Het Opdrachtgeverberaad zal de Programmamanager 
opdracht geven om te sturen op de voortgang van deze twee 
maatregelen. 


VNG: VNG zal een inventarisatie op de 
wettelijke noodzaak van getoonde gegevens 

uitvoeren, waarbij tevens getoetst wordt op de bestaande autorisaties bij gemeenten. UWV - in de rol van 
bronhouder van deze gegevens - zal bij deze inventarisatie aansluiten. VNG zal de uitkomsten van deze 
inventarisatie delen met SZW. Deze inventarisatie leidt naar alle waarschijnlijkheid tot de volgende acties: 


1. Mogelijk is er onvoldoende aandacht voor het toetsen van doelbinding en proportionaliteit bij 
gegevensuitwisseling binnen de Suwi-keten. Bij levering van gegevens aan niet-Suwi-partijen toetst de 
bronhouder altijd op doelbinding en proportionaliteit. De uitkomst hiervan is het leveren van een beperkte 
gegevensset. Deze werkwijze willen de Suwi-partijen strikter gaan hanteren voor gegevensuitwisselingen 
binnen de Suwi-keten. De Suwi-partijen willen samen met het Ministerie van SZW onderzoeken of de 
Regeling Suwi met inbegrip van de opzet van het Suwi-gegevensregister hiervoor moet worden verduidelijkt 
of aangepast. 


6 Voor de uitvoering van een groot aantal wetten is het noodzakelijk om toegang te kunnen hebben tot een zeer brede set 
gegevens en personen. Een aantal voorbeelden zijn het verhaal op de ex-partner, de kostendelersnorm en controles i.v.m. 
fraude en handhaving. 
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2. VNG zal met gemeenten onderzoeken of het mogelijk is om het stapelen van autorisatierollen te beperken. 
Wel merkt de VNG hierbij op, dat rekening moet worden gehouden met een zo efficiënt mogelijke inrichting 
van de bedrijfsprocessen bij gemeenten. 

3. Mogelijk leidt de inventarisatie tot de wens om de bestaande paginastructuur, dan wel de inhoud van de 
pagina’s, en/of het systeem van doorklikken te wijzigen. Ook het gemeentelijk 
autorisatiemodel/rollenoverzicht dient in het verlengde hiervan tegen het licht gehouden te worden. De vraag 
daarbij is of het houdbaar is om voor de ZBO’s enerzijds en de gemeenten anderzijds dezelfde pagina’s aan 
te bieden. Deze inventarisatie sluit goed aan op de interne evaluatie die ook SVB aankondigt op de 
bestaande paginastructuur. Veranderingen in (gemeentelijke) pagina’s zullen goed moeten worden 
voorgelicht. VNG coördineert deze voorlichting en wordt daarbij ondersteund door accountmanagers van 
BKWI. 

In dit kader zal VNG het volgende vragen aan BKWI: 

• Het doorvoeren van de aanpassingen die voortkomen uit de inventarisatie op de paginastructuur en 
inhoud van de pagina’s. 

• Het doorvoeren van de aanpassingen die voortkomen uit de inventarisatie en de gewijzigde 
paginastructuur en/of pagina’s in een geactualiseerd autoristatiemodel/rollenoverzicht. 

• Het ondersteunen van de VNG bij een voorlichtingstraject ten behoeve van gemeentelijke 
gebruikersbeheerders. 

SVB: SVB gaat een drietal maatregelen nemen: 

• Het evalueren van de huidige autorisatiestructuur: alle op dit moment geautoriseerde personen worden 
gecheckt op functie en noodzaak van autorisatie. 

• Het evalueren van de huidige paginastructuur. 

• De verwijdering van accounts die langer dan 90 dagen niet zijn gebruikt. 

UWV: UWV heeft de afgelopen jaren alle autorisaties opgeschoond en bereidt samen met BKWI een koppeling 
voor tussen het autorisatiebeheersysteem van UWV en Suwinet. Op deze manier kunnen de autorisaties voor 
Suwinet dagelijks worden geactualiseerd. 

Wat is de status van deze maatregel bij de Suwi-partijen op dit moment? 

Gemeenten: VNG is van mening dat de reikwijdte van de autorisaties die aan gemeentelijke medewerkers 
toegekend mogen worden, te groot is. UWV - in de rol als bronhouder - toetst onvoldoende doelbinding en 
proportionaliteit bij de levering van gegevens binnen de Suwi-keten, omdat UWV als bronhouder wettelijk 
verplicht is om alle gegevens te leveren voor de wettelijke taken van de Suwi-partijen. In combinatie met de 
bestaande paginastructuur en de stapeling van autorisatierollen, leidt dit ertoe dat gemeentelijke medewerkers 
vaak meer gegevens kunnen inzien op een pagina dan zij nodig hebben voor het uitoefenen van hun wettelijke 
taak. 

SVB: De autorisatie binnen de SVB is zo ingericht dat per medewerker een rol is toegekend met een autorisatie 
toegespitst op het werken in zowel de SVB systemen als Suwinet. Iedere soort medewerker heeft een ander soort 
rol en dus andere rechten. De autorisatie is dus altijd afgestemd op de rol van de medewerker. Op het moment 
dat de rol van een medewerker verandert, verandert de autorisatie in alle systemen, dus ook in Suwinet. Naast de 
continue verwerking van wijzigingen wordt twee keer per jaar het totale bestand opgeschoond. 

UWV: Het autorisatiebeleid binnen UWV betreft UWV-breed beleid en geldt dus niet alleen voor Suwinet. Bij heel 
UWV loopt momenteel het project ‘Sluitend Autorisatiebeheer’. Doel van dit project is om alle autorisaties op te 
schonen. Dit project loopt tot 31 december 2014. De autorisaties binnen Suwinet-inkijk voor UWV zijn gebaseerd 
op rollen welke een proportionele - op de taak gerichte - set gegevens aanbieden aan de gebruiker. Bij het 
Werkbedrijf is in 2014 het aantal rollen onderzocht. Dit heeft er in geresulteerd dat de huidige drie standaard 
rollen per eind 2014 worden vervangen door vier rollen met bijbehorende, passende autorisatie. 
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Op dit moment bereiden UWV en BKWI een koppeling voor tussen het autorisatiebeheersysteem van UWV en 
Suwinet. In het beheersysteem worden dagelijks wijzigingen in autorisaties verwerkt. Door een directe koppeling 
met Suwinet te realiseren, zullen ook de autorisaties voor Suwinet in de toekomst dagelijks worden 
geactualiseerd. Dit is een verbetering ten opzichte van de huidige werkwijze waarbij autorisaties steeds achteraf 
handmatig worden aangebracht. 

Idealiter kennen de Suwi-partijen maar een paar rollen, met bijbehorende autorisaties, toe aan medewerkers. De 
Suwi-partijen hechten eraan op te merken dat hoe meer wettelijke gecompliceerde taken en bijbehorende 
voorschriften er via regelgeving worden opgelegd, hoe groter de behoefte is aan variatie in de 
autorisatiestructuur. Als gevolg daarvan wordt ook de controle op zowel de autorisaties als het gebruik complexer. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

De Suwi-partijen verwachten dat de acties, die uit de inventarisatie bij gemeenten voortvloeien, ertoe zullen leiden 
dat gemeenten een beperktere gegevensset kunnen ontvangen voor het uitoefenen van de wettelijke taken, dat 
medewerkers bij gemeenten gerichter de benodigde gegevens zullen inkijken en dat zij minder gegevens zullen 
inzien die zij niet nodig hebben. Ook een nieuwe pagina-structuur kan hierbij helpen. Bij de uitwerking van deze 
maatregel dient rekening te worden gehouden met de wet WEU. 

SVB en UWV beogen hun autorisatiebeleid beter actueel kunnen houden door een automatische koppeling 
tussen hun autorisatiebeheersystemen en Suwinet. 


Maatregel 2 : Verbetering logging en gebruiksrapportages 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen gaan de logging/registraties van levering en gebruik van gegevens verbeteren over de hele 
keten van bronhouder tot afnemer. Om dit te bewerkstelligen gaan zij de volgende acties in gang zetten: 

1. Het Opdrachtgeverberaad zal de Gebruikersraad vragen om specificaties voor een ‘minimum standaard 
rapportage’ te ontwikkelen. Dit rapportageformat bevat alle essentiële gegevens over het gebruik en alle 
gebruikers dienen vervolgens een rapportageformat te gebruiken wat voldoet aan dit minimumformat. Iedere 
afnemer kan deze standaard rapportage zelf aanvullen met specifieke gewenste détailgegevens 
(bijvoorbeeld: hoe vaak wordt er gezocht buiten een postcodegebied). Voor gemeenten is al een dergelijke 
gebruiksrapportage tot stand gekomen. Dit is een actie uit het Verbeterplan van de VNG. 

2. De Suwi-partijen geven BKWI opdracht om het voor de afnemende partij mogelijk te maken om direct online 
rapportages in te zien. 

3. De partijen zullen ieder binnen hun eigen organisatie onderzoeken of de structuur - rondom het sturen op de 
informatie uit de rapportages - verbeterd of geoptimaliseerd kan worden. VNG heeft deze actie onlangs al 
uitgevoerd. 

Deze maatregel draagt ook bij aan het wegnemen van gesignaleerde kwetsbaarheid dat een groot aantal 
gebruikers van Suwinet toegang heeft tot relatief veel gegevens. Zoals eerder aangegeven, is het voor de 
uitvoering van meerdere wettelijke taken een vereiste om toegang te hebben tot een brede set van gegevens en 
van personen. Door de autorisatiestructuur zeer fijnmazig aan te brengen (maatregel 1) wordt inzichtelijk welke 
medewerkers breed geautoriseerd zijn. Het controleregime, via de gebruiksrapportages, dient hier zo specifiek 
mogelijk op te worden ingericht. Hierbij moet o.a. rekening worden gehouden met hoe vaak en in welke situaties 
een medewerker zoekt via andere zoeksleutels dan BSN (maatregel 8), of medewerkers gegevens hebben 
ingezien van personen die niet relevant lijken te zijn voor de werkzaamheden van de medewerker (maatregel 9) 
en de medewerkers privacygevoelige gegevens van bepaalde risicoklassen hebben ingezien (maatregel 10). 
Wanneer dit controle-regime strak wordt ingeregeld, kunnen concrete signalen worden onderzocht. Indien wordt 
aangetoond dat er sprake is van misbruik van gegevens, dan moet het beleid inzake misbruik van gegevens 
duidelijkheid geven over de sanctie (maatregel 5). In het meest vergaande geval kan dit ontslag tot gevolg 
hebben. 
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De Suwi-partijen merken hierbij het volgende op: voor de tweede actie (online rapportages kunnen inzien) geldt 
dat de Suwi-partijen afhankelijk zijn van het tempo waarin BKWI extra veranderingen kan doorvoeren naast het 
doorvoeren van alle nieuwe wet- en regelgeving. Het Opdrachtgeverberaad zal de prioriteit aangeven van de door 
BKWI te verrichten activiteiten. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

Gemeenten: Het verbetertraject ten aanzien van logging en rapportage is naar aanleiding van het onderzoek van 
de Inspectie SZW reeds in gang gezet vanuit BKWI en VNG / gemeenten. Juni jl. is een verbeterde versie 
(andere selectie en weergave tabellen, nieuwe teksten daarbij) van de gemeentelijke gebruiksrapportage tot 
stand gekomen. In een voorlichtingenreeks in de maanden juni en juli 2014 is deze bij circa 200 gemeentelijke 
vertegenwoordigers toegelicht en zijn aanvullende wensen geïnventariseerd. Deze wensen waren tweeledig: 

• Inhoudelijke of visuele aanpassingen die uiterlijk eind oktober 2014 worden gerealiseerd. 

• Maak het mogelijk om specifieke (aanvullende) rapportages online op te vragen. Daardoor komen de 
rapportages sneller en meer op maat beschikbaar. Interne controleurs kunnen vervolgens sneller stappen 
zetten bij het tegengaan van misbruik. 

SVB: SVB heeft al een aantal aanpassingen aangevraagd bij BKWI, conform de UWV rapportage. Daarnaast zal 
worden onderzocht welke aanpassingen nog betere informatie kunnen opleveren. 

UWV: De huidige rapportages voldoen aan de wensen van UWV. UWV heeft wel een aantal gebruikerswensen 
die het inzicht in logging en in de rapportages kunnen optimaliseren. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Bovengenoemde drie acties leiden tot betere, snellere en gerichtere controle achteraf. Met verbeterde 
rapportages kan oneigenlijk gebruik en misbruik sneller in kaart worden gebracht en worden tegengegaan. Ook 
biedt het handvatten voor het (informatiemanagement) zoals het aanscherpen van het verwijderen van 
ongebruikte accounts etc. De meerwaarde van het direct online elektronisch opvragen van specifieke 
controlerapportages (herleidbaar naar individuele gebruikers) is vooral gelegen in de doorloopsnelheid van het 
controleproces. Dat heeft voordelen op meerdere manieren: 

• Er verstrijkt minder tijd tussen eventueel misbruik en het traceren ervan. Controleurs zijn niet meer 
afhankelijk van de beschikbare capaciteit bij BKWI om hun aanvraag op te volgen dan wel van de 
verouderde procedure met de CD-roms. Zodoende kan bij geconstateerd misbruik sneller tot een sanctie 
worden overgegaan. Dit heeft weer een preventief effect op eventueel toekomstig misbruik. 

• Wanneer blijkt dat na een eerste specifieke rapportage nog een aanvullende nadere rapportage nodig is om 
tot een bepaald inzicht te komen, kan dit meteen worden gerealiseerd en hoeft de aanvraagprocedure niet 
opnieuw doorlopen te worden. 
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Maatregel 3: Ontwikkeling en vaststelling 
aansluitvoorwaarden en gebruiksvoorwaarden 
Suwinet-inlezen 

Wat stellen de Suwi-partijen voor? 

Suwipartijen stellen voor te verkennen welke 
aansluitvoorwaarden en gebruiksvoorwaarden 

moeten worden gesteld om een veilig gebruik van 
Suwinet-inlezen te bewerkstelligen. Het 
uitgangspunt hierbij is de gegevensuitwisseling 
binnen de Suwi-keten. De te ontwikkelen 

aansluitvoorwaarden en gebruiksvoorwaarden 

moeten tevens bruikbaar zijn voor 
gegevensleveringen aan niet-Suwipartijen. 

Daarnaast zullen de Suwipartijen kwaliteitseisen 
stellen aan de systemen van de afnemende partijen, 
een passend autorisatiebeleid voor Suwinet-inlezen 
ontwikkelen en de rapportages en logging nader 
vorm geven. Tevens moet de govemance omtrent 
Suwinet-inlezen daarop worden aangepast en 
beschreven. 

Het Opdrachtgeverberaad zal een werkgroep 
instellen die de opdracht krijgt om passende 
aansluitvoorwaarden en gebruiksvoorwaarden te 
ontwikkelen. Daarbij wordt onderzocht - samen met 
het ministerie - of deze voorwaarden in regelgeving 
moeten worden opgenomen (maatregel 11). 

Wat is de status van deze maatregel bij de Suwi¬ 
partijen? 

Er is eerder onderzoek gedaan naar o.a. de 
techniek, voorwaarden en communicatie rondom 
Suwinet-inlezen. Van deze bevindingen wordt 
gebruik gemaakt bij het vormgeven van de aansluit¬ 
en gebruiksvoorwaarden voor het gebruik van 
Suwinet-inlezen. 


Maatregelen categorie 2: Prioritaire maatregelen met 
een meer autonoom karakter 

Maatregel 3: Ontwikkeling en vaststelling 
aansluitvoorwaarden en gebruiksvoorwaarden Suwinet- 
inlezen 

Maatregel 4: Ketenbrede awareness campagne 

Naast de maatregelen van categorie 1 dienen ook de 
maatregelen van categorie 2 prioriteit te krijgen. Prioriteit 
voor maatregel 3 is van groot belang, omdat uit onderzoek 
is gebleken dat de aansluitvoorwaarden en 
gebruiksvoorwaarden Suwinet op Suwinet-inlezen moeten 
worden aangepast. 

Maatregel 4 behoeft prioriteit, omdat het van groot belang 
is dat medewerkers en managers in de hele Suwi-keten 
zich nog meer bewust worden van de consequenties van 
het inzien en gebruik van privacygevoelige gegevens. Bij 
deze ketenbrede awareness campagne wordt tevens 
aandacht besteed aan de maatregelen 5, 8, 9 en 10. 
Maatregelen 3 en 4 dragen daarmee direct bij aan een 
veiliger gebruik van gegevens via Suwinet. 

Het Opdrachtgeverberaad is verantwoordelijk voor de 
uitwerking van deze maatregelen. De Suwi-partijen zijn 
ieder zelf verantwoordelijk voor de implementatie binnen 
hun eigen organisaties. Het Opdrachtgeverberaad zal 
werkgroepen aanstellen die de maatregelen dermate 
moeten concretiseren en specificeren dat de impact, 
planning, kosten en haalbaarheid in beeld kunnen worden 
gebracht door het Opdrachtgeverberaad en BKWI. Op dat 
moment kunnen de Suwi-partijen ook een oordeel geven 
over de impact in relatie tot de kosten en hetgeen zij van 
het Ministerie van SZW vragen. 

Het Opdrachtgeverberaad zal de Programmamanager 
opdracht geven om op deze projecten te sturen. 


Welk effect verwachten de Suwi-partijen van de 
maatregel? 

Door passende aansluitvoorwaarden en gebruiksvoorwaarden voor de functie Suwinet-inlezen wordt het gebruik 
van Suwinet-inlezen transparanter en veiliger. De gebruiker zal verantwoording moeten afleggen over het gebruik 
van Suwinet- inlezen. 
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Maatregel 4: Ketenbrede awareness-campagne 


Wat stellen de Suwi-partijen voor? 

De Suwi-partijen gaan een ketenbrede awareness campagne opzetten om de bewustwording en 
bekwaamwording bij medewerkers - inzake de verantwoordelijkheden die ze dragen in het kader van het gebruik 
van gegevens via Suwinet - onder de aandacht te brengen. 

Het Opdrachtgeverberaad zal een werkgroep instellen die een plan van aanpak moet opstellen voor een 
ketenbrede awareness-campagne voor medewerkers en verantwoordelijke managers in de keten. Hierbij wordt 
gebuik gemaakt van beschikbaar materiaal van het Centrum Informatiebeveiliging en Privacybescherming (CIP). 
Aandacht zal worden besteed aan de consequenties van misbruik van gegevens (maatregel 5), aan het zoeken 
op BSN en andere zoeksleutels (maatregel 8), het zoeken en inkijken van gegevens van personen die niet 
relevant zijn voor de werkzaamheden van de medewerker (maatregel 9) en het inzien van zeer privacygevoelige 
gegevens (maatregel 10). De werkgroep krijgt ook de opdracht om na afloop van de campagne, de ketenbrede 
voorlichting een structureel karakter te geven. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

Op dit moment is er geen sprake van een ketenbrede awareness-campagne. De Suwi-partijen hebben ieder hun 
eigen voorlichting- en instructiemateriaal voor hun eigen medewerkers. De VNG heeft al een awareness- 
campagne voor eigen medewerkers. Daarnaast staan diverse best practices van campagnes op de website van 
VNG, ter inspiratie voor andere gemeenten. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Door de campagne en door de inrichting van een ketenbrede structurele voorlichting zullen medewerkers en 
managers in de hele Suwi-keten bewuster omgaan met privacygevoelige gegevens. 


Maatregel 5: Beleid inzake misbruik van gegevens door medewerkers 
Wat stellen de Suwi-partijen voor? 

Het Opdrachtgeverberaad zal het beleid - inzake het misbruik van gegevens door medewerkers - van de Suwi- 
partijen met elkaar delen en een zoveel mogelijk eenduidig beleid in de Suwi-keten nastreven. Het beleid houdt in 
dat er verschillende sancties zijn voor verschillende niveau’s van overtredingen. Wanneer sprake is van misbruik 
van gegevens, heeft dit ontslag als gevolg. 

Voor de VNG geldt dat zij een model-beleid kan aanbieden aan haar leden; het is aan de gemeenten of zij dit 
beleid overnemen. 

De Suwi-partijen agenderen deze maatregel voor het laatste Opdrachtgeverberaad van 2014. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen hebben ieder hun eigen beleid. Voor SVB en UWV geldt dat medewerkers kunnen worden 
geschorst/ontslagen wanneer er sprake is van oneigenlijk gebruik of misbruik van gegevens. Dit geldt tevens voor 
gemeenten. Gemeenten hebben ieder hun eigen beleid. VNG promoot de aanpak van de gemeente Rotterdam 
als best practice. De VNG heeft deze ontsloten in diverse presentaties en tools die zijn te downloaden van 
www.vna.nl . 

Welk effect verwachten de Suwi-partijen van de maatregel? 

De maatregel leidt ertoe dat er een zoveel mogelijk eenduidige aanpak komt bij misbruik van gegevens in de 
Suwiketen, dat er (nog meer) bestuurlijke aandacht komt voor dit beleid en de uitvoering hiervan. De maatregel 
bevordert het vertrouwen tussen de partijen. 
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Maatregel 6: Herijking normenkaderen verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 


Wat stellen de Suwi-partijen voor? 

De Suwi-partijen gaan de 

verantwoordingsrichtlijnen en de Maatregelen categorie 3: Onderzoeksmaatregelen die 

normenkaders actualiseren. De VNG heeft duiden of en hoe richtlijnen en beleid aanpassing 
eerder namens gemeenten aangegeven dat behoeven 
de verantwoordingsrichtlijn niet goed aansluit 

bij de wijze waarop gemeenten Maatregel 5: Beleid inzake misbruik van gegevens door 

verantwoordelijkheid willen nemen. Ook in de medewerkers 

PIA is dit gesignaleerd. VNG acht de Maatregel6: Herijking normenkader en 

realisering van een wettelijk kader voor de verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 

verantwoording door gemeenten Maatregel 7:Telewerken en doorlevering van gegevens 

noodzakelijk. In dit wettelijk kader moet Met de onderzoeksmaatregelen van categorie 3 willen de Suwi- 

worden geregeld dat colleges van B&W zich partjjen onde(zoeken of belejd en richt|ijnen dienen te worden 

jaarlijks voor de raad verantwoorden over het aangepast Deze ondetzoeken kunnen op korte terrnijn starten 

informatiebeveiligingsbeleid en de uitvoering en zu||en op een ^ moment moge|jjk |eiden tot concrete acties . 

daarvan (gekoppeld aan de jaarlijkse P&C- 

cyclus). Aan het niet plaatsvinden van de Het Opdrachtgeverberaad is verantwoordelijk voor de uitwerking 

verantwoording kan een sanctie gekoppeld van deze maatregelen. De Suwi-partijen zijn ieder zelf 

worden. Daarbij is het van belang dat dit verantwoordelijk voor de implementatie binnen hun eigen 

wettelijk kader geldt voor alle organisaties op basis van een gezamenlijk plan. 

gegevensuitwisselingen en dat hierbij geen voor maa t re g e | 5 geldt dat het Opdrachtgeverberaad naar een 

onderscheid wordt gemaakt tussen Suwi- zoveel mogelijk eenduidig beleid zal streven. De Suwi-partijen 

taken en niet-Suwi-taken. De Suwi-partijen ( zo 00 ^ a |j e gemeenten) blijven uiteraard zelf verantwoordelijk 

hebben in hun reactie aan de Minister en voor hun e jg en beleid en de uitvoering hiervan. Deze maatregel 

Staatssecretaris op het rapport vertoont samenhang met maatregel 4 , de ketenbrede awareness- 

Privacyimpact assessment Suwinet reeds campagne. Voor de maatregelen 6 en 7 zal het 

geadviseerd om het bestaande wettelijk Opdrachtgeverberaad werkgroepen aanstellen die de 

kader rondom Suwinet te herijken en in lijn te maatregelen moeten concretiseren en specificeren, zodat de 

brengen met de ontwikkeling van de impact, planning, kosten en haalbaarheid in beeld kunnen 

overheidsbrede gegevensuitwisseling. Zie worden gebracht door de Suwi-partijen en BKWI. Op dat moment 

maatregel 11. kunnen de Suwi-partijen ook een oordeel geven over de impact 

Daarnaast willen de Suwi-partijen zich zoveel j n re j a tj e t 0 t ^ e kosten en hetgeen zij van het Ministerie van SZW 

mogelijk op basis van de inhoud van de BIG vragen, 
en BIR verantwoorden en zien zij daarom 

graag dat de verschillende relevante Het Opdrachtgeverberaad zal de Programmamanager opdracht 

verantwoordingsrichtlijnen en normenkaders geven om op de2e pro]ecten te sturen ' 

goed op elkaar aansluiten. Het 
Opdrachtgeverberaad zal daarom een 

werkgroep aanstellen die de ontdubbelingsanalyses gaat doen. Dit vindt plaats conform ENSIA (eenduidige 
normatiek single Information audit). Dit overheidsbrede initiatief is gericht op het stroomlijnen van normenkaders. 
Naar aanleiding van de resultaten die uit de ontdubbelingsanalyses komen, zullen de Suwi-partijen het Ministerie 
van SZW vragen om de regelgeving te verduidelijken. Ook in de PIA wordt aandacht gevraagd voor de 
onduidelijke verantwoordingsrichtlijnen en de verouderde normenkaders. Bij het actualiseren dient tevens 
rekening te worden gehouden met de toegang tot privacy-gevoelige gegevens (maatregel 10) en met de 
voorwaarden voor telewerken (nieuwe werken en ‘bring your own device’) en doorleveren (maatregel 7). Een 
goede afstemming tussen enerzijds het actualiseren van de normenkaders en de verantwoordingsrichtlijn, en 
anderzijds het realiseren van een wettelijke kader, is daarnaast van groot belang. 


zal het 
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Wat is de status van deze maatregel bij de Suwi-partijen? 

Gemeenten: VNG heeft namens de gemeenten aangegeven dat de verantwoordingsrichtlijn niet goed aansluit bij 
de wijze waarop gemeenten verantwoording willen nemen. De Suwi-partijen hebben in hun reactie aan de 
Minister en Staatssecretaris op het rapport “Privacy impact assessment Suwinet" reeds aangegeven dat zij 
adviseren om het bestaande wettelijk kader rondom Suwinet te herijken en in lijn te brengen met de ontwikkeling 
van de overheidsbrede gegevensuitwisseling. De Suwi-partijen achten het van groot belang dat er voor de 
verantwoording door gemeenten zo snel mogelijk een wettelijk kader wordt gerealiseerd. Om dit wettelijk kader 
ook praktisch uitvoerbaar te maken (eenduidige verantwoording over gebruik van gegevens), zou er in dit kader 
geen onderscheid moeten worden gemaakt tussen Suwi-taken en niet-Suwi-taken. De Suwi-partijen vragen de 
bewindslieden van SZW om bij de Minister van BZK aan te dringen op een wettelijke basis hiertoe. 

SVB en UWV: In het Besluit SUWI is geregeld dat de ZBO’s verantwoording afleggen aan het Ministerie van 
SZW. Voor alle drie de Suwi-partijen geldt dat zij dubbeling en overlap zien bij de verschillende normenkaders en 
verantwoordingsrichtlijnen. Het gaat om de BIG, BIR en het Suwi-normenkader, binnen de kaders van Europese 
wet/regelgeving en de Wbp. De geldende normen zijn vinden hun oorsprong in meerdere verschillende wet- en 
regelgevingen. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

De VNG verwacht dat een wettelijke verplichting voor gemeenten om verantwoording af te leggen over het 
gebruik van gegevens ertoe leidt dat er binnen gemeenten bestuurlijk gezien meer aandacht komt voor juiste 
gegevensuitwisseling en het juiste gebruik van gegevens. Gemeenten zullen beter gaan sturen op het zorgvuldig 
omgaan met gegevens. 

De Suwi-partijen verwachten dat na de ontdubbelingsanalyse een overzicht ontstaat van de geldende normen, 
waar deze zijn vastgelegd, waar dubbeling is en waar gaten vallen. Op basis hiervan kunnen normenkaders 
worden (door)ontwikkeld. De Suwi-partijen willen zich zoveel mogelijk langs de generieke normenkaders (zoals 
BIG en BIR) verantwoorden en zien daarom graag dat deze normenkaders in de toekomst een zo compleet 
mogelijk overzicht bevatten van alle geldende normen en dat zij goed aansluiten op andere relevante 
normenkaders. Kortom: een efficiency doelstelling. 

De Suwi-partijen merken hierbij het volgende op: voor het realiseren van maatregel 6 zijn de Suwi-partijen in hoge 
mate afhankelijk van het Ministerie van BZK. De Suwi-partijen vragen de bewindslieden van SZW bij het 
Ministerie van BZK aan te dringen op de totstandkoming van een wettelijk kader voor de verantwoording door 
gemeenten. VNG verzoekt de Ministeries om op korte termijn gericht te kunnen meedenken over de wijze waarop 
dit wettelijk kader gerealiseerd kan worden. Het realiseren van een wettelijk kader voor de verantwoording door 
gemeenten, is een randvoorwaarde voor het realiseren van maatregel 6. 


Maatregel 7: Telewerken en doorlevering van gegevens 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen willen - vanuit hun rol als bronhouder en afnemer van gegevens - kritisch kijken naar de criteria 
die een bronhouder aan de afnemende partij kan stellen op het gebied van: 

• telewerken en toegang tot gegevens via Suwinet 

• het uitbesteden van taken aan private partijen waarbij gegevens worden ingezien via Suwinet 

• samenwerkingsverbanden binnen de overheid waarbij gegevens worden ingezien via Suwinet 
Het Opdrachtgeverberaad zal een werkgroep aanstellen die deze criteria gaat onderzoeken. 

Het Opdrachtgeverberaad is verantwoordelijk voor dit onderzoek. De Suwi-partijen streven ernaar om 
gezamenlijke afspraken te maken over voorwaarden en criteria m.b.t. gegevensleveringen aan partijen die 
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gegevens doorleveren, gegevensleveringen aan partijen die d.m.v. samenwerkingsverbanden taken ‘uitbesteden’ 
aan andere partijen, en gegevenslevering aan partijen die telewerken toestaan. 


Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen kennen alle drie de mogelijkheid voor bepaalde functionarissen om thuis te werken of op een 
andere plaats dan kantoor. Sommige functionarissen (bijvoorbeeld handhavers) kunnen zo ook gegevens via 
Suwinet inkijken op een andere plaats dan op kantoor. UWV, SVB en gemeenten hebben ieder hun eigen beleid 
op het gebied van telewerken. De Informatie Beveiligingsdienst (IBD) van KING heeft tools ontwikkeld voor veilig 
thuiswerken voor gemeenten. 

Bij gemeenten komt het ook voor dat bepaalde diensten aan private organisaties worden uitbesteed of dat met 
andere gemeenten wordt samengewerkt. Hierbij worden gegevens doorgeleverd aan een andere partij. Het hangt 
overigens van de juridische vorm van de samenwerking af of er ook sprake is van ‘doorlevering’ van gegevens. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

De Suwi-partijen verwachten dat afnemende partijen en hun medewerkers bewuster zullen omgaan met 
telewerken (in combinatie met het kunnen inzien van persoonsgegevens) en dat er betere afspraken worden 
gemaakt omtrent het doorleveren van gegevens. 


Maatregel 8: Beperking zoekmogelijkheden in Suwinet-inkijk 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen vinden het erg belangrijk dat er niet onnodig op andere zoeksleutels dan BSN wordt gezocht. 
Het kunnen zoeken via andere zoeksleutels maakt het gemakkelijker om gegevens in te zien die niet relevant zijn 
voor de werkzaamheden van de medewerker. De Suwi-partijen merken wel op dat het voor de uitvoering van 
wetten en regelgeving regelmatig nodig is om andere zoeksleutels te gebruiken dan alleen BSN. De 
bedrijfsvoering van de drie Suwi-partijen is hier ook op ingericht. Bij de verdere uitwerking van deze maatregel 
moet daarom nadrukkelijk rekening worden gehouden met de impact op de bedrijfsprocessen en systemen van 
de Suwi-partijen, in relatie tot de huidige wet- en regelgeving. Voor de uitvoering van de opgedragen wettelijke 
taken kan niet altijd worden volstaan met de enkele zoeksleutel BSN. 

Omdat de Suwi-partijen het belangrijk vinden dat medewerkers andere zoeksleutels alleen gebruiken wanneer dit 
noodzakelijk is voor de uitvoering van hun taak, zullen zij onderzoeken of er mogelijkheden zijn om de 
zoekmogelijkheden in Suwinet-inkijk nog meer te beperken. 

De Suwi-partijen zullen eerst maatregelen 1, 2 en 5 realiseren en daarna bekijken of er aanvullende acties voor 
maatregel 8 nodig en mogelijk zijn. Een fijnmazig autorisatiebeleid met bijbehorende rollen leidt er namelijk toe 
dat alleen werknemers, die dit daadwerkelijk nodig hebben voor het uitvoeren van hun taak, andere zoeksleutels 
kunnen gebruiken. Medewerkers die gebruik mogen maken van andere zoeksleutels worden vervolgens op dit 
gebruik gecontroleerd via de specifieke gebruiksrapportages. In de gebruiksrapportages wordt opgenomen 
wanneer er op welke zoeksleutel is gezocht. Indien blijkt dat er misbruik is gemaakt van andere zoeksleutels, 
wordt uitvoering gegeven aan het beleid inzake misbruik van gegevens. 

Bij de ketenbrede awareness-campagne wordt tevens aandacht besteed aan het zoeken op andere zoeksleutels. 
Maatregel 4 ondersteunt daarmee maatregel 8. 

Het Opdrachtgeverberaad zal voor deze maatregel een werkgroep aanstellen. De werkgroep kan in 2015 van 
start gaan. De concrete acties die uit deze werkgroep voortkomen, worden afgestemd op de maatregelen 1 en 2. 
Om die reden worden eerst de maatregelen 1 en 2 afgerond, waarna de concrete acties voor deze maatregel 
verder kunnen worden vormgegeven. De doorlooptijd van deze maatregel is daarmee mede afhankelijk van de 
doorlooptijden van maatregelen 1 en 2. 
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Wat is de status van deze 
maatregel bij de Suwi-partijen? 
Op dit moment is het voor 
sommige rollen mogelijk om te 
zoeken op andere zoeksleutels 
dan op BSN. In de rapportages 
wordt gelogd hoe vaak men op 
andere zoeksleutels zoekt. Voor 
de uitvoering van steeds meer 
wetgeving is het nodig om ook 
op andere zoeksleutels te 
zoeken dan enkel op BSN. De 
bedrijfsprocessen van de Suwi- 
partijen zijn hierop ingericht. 

Gemeenten: Het beleid is nog 
niet bij alle gemeenten ‘BSN 
tenzij’. VNG promoot deze 
benadering bij gemeenten. Voor 
sommige rollen bij gemeenten 
is het echter noodzakelijk dat 
ook op andere zoekcriteria dan 
BSN kan worden gezocht. 

SVB: De huidige werkwijze is 
nu al dat men in eerste instantie 
zoekt op BSN. Als dat niet 
mogelijk is, kan via een omweg 
worden gezocht op andere 
zoeksleutels, indien men 
daartoe geautoriseerd is. 
Omdat een groep klanten niet 
over een BSN beschikt, is het 
soms nodig om ook met andere 
zoeksleutels te kunnen zoeken. 
Dit geldt bijvoorbeeld bij klanten 
buiten Nederland. Medewerkers 
die dat moeten kunnen, hebben 
die rol toegewezen gekregen. 
Omdat de SVB integrale 
serviceteams heeft, waarbinnen 
iedere medewerker alle 
klantvragen moet kunnen 
beantwoorden en afhandelen 
hebben alle medewerkers van 


Maatregelen categorie 4 : Vervolgmaatregelen op maatregelen 
categorie 1 

Maatregel 8: Beperking zoekmogelijkheden in Suwinet-inkijk 
Maatregel 9: Beperking toegang Suwinet tot personen die 
relevant zijn voor de werkzaamheden van de medewerker 
Maatregel 10: Analyse van gegevens van bepaalde risicoklassen 

De Suwi-partijen vinden de doelstelling van de maatregelen van 
categorie 4 - namelijk: het beperken van de toegang tot een brede set 
gegevens van veel personen - zeer belangrijk. Deze doelstelling kan 
voor een groot deel via de maatregelen uit categorie 1 worden 
gerealiseerd. Na realisatie van de in categorie 1 genoemde 
maatregelen kan antwoord worden gegeven op de vraag of en welke 
nadere maatregelen nodig zijn. Daartoe zal worden onderzocht of en 
in welke mate het gebruik van zoeksleutels Suwinet-inkijk kan worden 
beperkt. Ook zal worden onderzocht of de toegang van gebruikers tot 
Suwinet kan worden beperkt tot aanvragers, uitkeringsontvangers en 
hun aanverwanten (medebewoners, ex-partners). Als derde maatregel 
in deze categorie wordt onderzocht of en in welke mate verzwaring 
van het authenticatieniveau voor gegevens van bepaalde 
risicoklassen bijdraagt aan verbetering van een veilig gebruik De 
impact van deze maatregelen op de bedrijfsprocessen en systemen 
zullen daarbij in beeld worden gebracht. 

Het Opdrachtgeverberaad is verantwoordelijk voor de uitwerking van 
deze maatregelen. De Suwi-partijen zijn ieder zelf verantwoordelijk 
voor de implementatie binnen hun eigen organisaties. Het 
Opdrachtgeverberaad zal werkgroepen aanstellen die moeten 
onderzoeken of het nodig is om (na afronding van de maatregelen van 
categorie 1) aanvullende acties in te zetten voor categorie 4. Deze 
werkgroepen zullen wel direct starten. Bij deze categorie maatregelen 
signaleren de Suwi-partijen een spanning tussen enerzijds de wens 
om de toegang tot een brede set van persoonsgegevens drastisch te 
beperken; en anderzijds de wens om de uitvoering van complexe wet¬ 
en regelgeving (waarbij steeds meer gegevens van meer personen 
moeten worden ingezien) op een zo efficiënt mogelijke manier in te 
richten. Afgewogen moet worden of de geformuleerde acties passen 
binnen de bestaande, efficiënt ingerichte bedrijfsprocessen. Op deze 
manier borgen de Suwi-partijen dat wet- en regelgeving op een 
efficiënte en rendabele manier kan blijven worden uitgevoerd 

Indien er concrete acties voortkomen uit de werkgroepen, zullen de 
Suwi-partijen en BKWI de impact, planning, kosten en haalbaarheid in 
beeld brengen. Op dat moment kunnen de Suwi-partijen ook een 
oordeel geven over de impact in relatie tot de kosten en hetgeen zij 
van het Ministerie van SZW vragen. 

Het Opdrachtgeverberaad zal de Programmamanager opdracht geven 
om op deze projecten te sturen. 


de integrale serviceteams de beschikking over deze rol. Bij gebruik van deze zoeksleutels verschijnt een 
waarschuwing op het scherm. Daarnaast hebben medewerkers van de afdeling Bijzonder Onderzoek deze rol. 


UWV: UWV kent dezelfde werkwijze als SVB. In eerste instantie zoeken medewerkers altijd op BSN. Zo is het 
scherm van Suwinet ook ingericht. Via een omweg kan ook worden gezocht op andere zoeksleutels, indien men 
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daartoe geautoriseerd is. Niet alle toegekende rollen binnen UWV zijn geautoriseerd om op andere zoeksleutels 
te zoeken. Het zoeken via andere zoeksleutels is regelmatig een vereiste. Een voorbeeld hiervan is dat UWV 
(alsmede SVB en gemeenten) ook dienstverlening uitvoeren voor personen die in het buitenland wonen of 
verblijven en voor personen die geen BSN hebben. Een buitenlandse uitvoerder van sociale verzekeringen kent 
het BSN vaak niet, maar vermeldt wel de naam en geboortedatum op het internationale formulier. Voor UWV 
geldt daarnaast dat bepaalde medewerkers van Werkbedrijf geautoriseerd zijn om andere zoeksleutels te 
gebruiken naast BSN. Zij moeten bijvoorbeeld ook informatie opzoeken in het bedrijvenregister. In dergelijke 
registers is zoeken op BSN simpelweg niet mogelijk. 

Welk effect verwachten de Suwi-partijen van de maatregelen? 

De Suwi-partijen verwachten dat naarmate de rollen en autorisaties beter zijn toegespitst, het veel minder 
mogelijk is om te zoeken op andere zoeksleutels wanneer dit eigenlijk niet gewenst is. Voor medewerkers die wel 
geautoriseerd zijn, geldt dat de awareness-campagne hen bewuster zal laten omgaan met het gebruik van 
andere zoeksleutels. Ook de gerichte controle op het gebruik van andere zoeksleutels, door de 
gebruiksrapportages hierop aan te passen, zal ertoe leiden dat er minder oneigenlijk gebruik van andere 
zoeksleutels wordt gemaakt. 

Het uitvoeren van de maatregelen 1, 2 en 4 is een randvoorwaarde voor het realiseren van deze maatregel. De 
uitwerking van de maatregel zal uitwijzen in hoeverre het mogelijk is om de zoekmogelijkheden meer te beperken. 
Hierbij wordt rekening gehouden met de bestaande bedrijfsprocessen en systemen van de Suwi-partijen. 


Maatregel 9: Beperking toegang Suwinettot personen relevant voor werkzaamheden medewerker 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen vinden het zeer belangrijk dat medewerkers alleen gegevens van personen raadplegen die 
nodig zijn voor de werkzaamheden van de medewerker. Tegelijkertijd is het niet mogelijk om de toegang tot alle 
niet-relevante personen af te sluiten. De reden hiervoor is dat voorafgaand aan de aanvraag, niet kan worden 
vastgesteld welke personen wel en niet relevant zijn. Veel wet- en regelgeving leidt er namelijk toe dat ook 
gegevens van andere personen dan de aanvrager (zoals (ex)partner, kinderen en huisgenoten) moeten worden 
ingezien 7 . Feitelijk betekent dit dat iedere ingezetene van Nederland relevant kan zijn voor een aanvraag. Er zijn 
ook dagelijks mutaties in de workload van medewerkers. De bedrijfsprocessen van de Suwi-partijen zijn hier 
volledig op ingericht. De Suwi-partijen vinden het echter van groot belang dat toegang tot gegevens van personen 
die niet relevant zijn voor de werkzaamheden van de medewerker, niet worden ingezien. Zij spannen zich daarom 
maximaal in om mogelijkheden te vinden waarbij de toegang tot gegevens van niet-relevante personen kan 
worden beperkt. Hierbij moet nadrukkelijk rekening worden gehouden met de bestaande bedrijfsprocessen en de 
systemen van de Suwi-partijen. 

Maatregelen 1, 2 en 5 zijn randvoorwaardelijk voor het realiseren van deze maatregel. Een fijnmazige 
autorisatiestructuur met bijbehorende rollen kan ertoe bijdragen dat voor sommige medewerkers de toegang tot 
niet-relevante personen wordt beperkt. Met de specifieke gebruiksrapportages kan vervolgens streng worden 
gecontroleerd of medewerkers gegevens van personen hebben ingezien die niet relevant lijken voor hun 
werkzaamheden. Dit moet vervolgens worden gecontroleerd. Indien blijkt dat er misbruik is gemaakt van 
gegevens, worden er sancties opgelegd. In het meest vergaande geval kan dit ontslag tot gevolg hebben. 

Pas nadat deze maatregelen zijn gerealiseerd, kunnen aanvullende acties worden ingezet om maatregel 9 te 
verwezenlijken. Het Opdrachtgeverberaad zal een werkgroep aanstellen die zich moet buigen over dit complexe 
vraagstuk. Deze werkgroep kan in 2015 van start gaan. De concrete acties die uit deze werkgroep voortkomen, 
worden afgestemd op de maatregelen 1 en 2. Om die reden worden eerst de maatregelen 1 en 2 afgerond, 


7 Voorbeelden hiervan zijn: verhaal op de ex-partner, de kostendelersnorm, controles i.v.m. fraude en handhaving. 
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waarna de concrete acties voor deze maatregel verder kunnen worden verkend. De doorlooptijd van deze 
maatregel is daarmee mede afhankelijk van de doorlooptijden van de maatregelen 1 en 2. 

Aanvullende acties worden in de volgende richting gezocht: te denken valt aan criteria voor een zogenaamde 
blacklist. Hierop staan personen die niet of pas na verkregen toestemming mogen worden geraadpleegd. 
Daarnaast zal de werkgroep kijken naar criteria voor een zogenaamde whitelist. Bij deze werkwijze wordt één 
medewerker bij de afnemende partij geautoriseerd om alle gegevens in te zien. Medewerkers die bepaalde 
gegevens nodig hebben van een bepaalde persoon kunnen door de geautoriseerde medewerker gemachtigd 
worden om deze gegevens in te zien. Deze werkwijze is echter niet voor alle afnemers uitvoerbaar. Op dit 
moment wordt de whitelist alleen gebruikt bij afnemers die gegevens nodig hebben van een zeer beperkte groep 
personen. 

Bij de ketenbrede awareness-campagne wordt tevens aandacht besteed aan het inzien van gegevens van niet- 
relevante personen. Maatregel 4 ondersteunt daarmee maatregel 9. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen vinden het van groot belang dat medewerkers geen gegevens inzien van personen die niet 
relevant zijn voor hun werkzaamheden. SVB en UWV, en ook een aantal gemeenten, controleren hier streng op. 
Dit leidt helaas soms tot ontslagen. Uitvoeringstechnisch is het op dit moment echter niet mogelijk om de toegang 
tot niet-relevante personen af te sluiten. De reden hiervoor is dat vooraf niet kan worden vastgesteld welke 
personen wel en niet relevant zijn voor de werkzaamheden van de medewerker en dat het voor de uitvoering van 
wet- en regelgeving vaak nodig is om gegevens, van andere personen dan de aanvrager, in te zien. 

Welk effect verwachten de Suwi-partijen van deze maatregel? 

De oplossing die uit deze maatregel komt, zal een oplossing voor de korte en middellange termijn zijn. Een 
sluitende oplossing kan pas op lange termijn worden gerealiseerd door de algehele systematiek van 
gegevenslevering opnieuw vorm te geven. De Suwi-partijen beogen voor de korte termijn het kunnen inzien van 
gegevens die niet relevant zijn voor het werk van medewerkers zoveel als mogelijk te beperken. Een goed en 
fijnmazig autorisatiebeheer draagt hieraan bij. Voor medewerkers die wel geautoriseerd zijn om een brede set 
van gegevens te kunnen inzien, geldt dat de awareness-campagne hen bewuster zal laten omgaan met het 
zoeken op gegevens van bepaalde personen en dat de gerichte controle door de gebruiksrapportages ertoe leidt 
dat er minder gegevens van personen worden ingezien die niet relevant zijn voor de werkzaamheden van de 
medewerker. 

Het uitvoeren van maatregelen 1, 2 en 4 is een randvoorwaarde voor het realiseren van maatregel 9. De 
uitwerking van de maatregel zal uitwijzen in hoeverre het voorkomen van het inzien van gegevens mogelijk is. 
Hierbij rekening houdend met de bedrijfsprocessen van de Suwi-partijen. 


Maatregel 10: Analyse van gegevens van bepaalde risicoklassen 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen gaan ervoor zorgen dat gegevens die tot bepaalde privacygevoelige risicoklassen behoren, 
moeilijker of niet zijn in te zien voor medewerkers. Het betreft een van de gesignaleerde kwetsbaarheden: het 
beveiligingsniveau van een aantal privacygevoelige gegevens zou te laag zijn. De Suwi-partijen onderzoeken om 
welke gegevens het hier gaat, welke beveiligingsmaatregelen passend zijn bij deze gegevens en hoe daarover 
afspraken tussen de gegevensuitwisselende partijen kunnen worden gemaakt. 

Maatregelen 1 en 2 moeten eerst worden gerealiseerd, voordat aanvullende concrete acties kunnen worden 
ontwikkeld. Door een fijnmazige autorisatiestructuur met bijbehorende rollen aan te brengen, zijn niet alle 
medewerkers geautoriseerd om deze privacygevoelige gegevens in te zien. De medewerkers die wel toegang 
hebben tot deze gegevens, kunnen door middel van specifieke rapportages streng worden gecontroleerd op het 
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inzien van deze gegevens. Aanvullend hierop zal het Opdrachtgeverberaad een werkgroep aanstellen die moet 
onderzoeken voor welke privacygevoelige gegevens aanvullende maatregelen moeten worden genomen. Te 
denken valt dan aan een zwaarder authenticatieniveau. Pas nadat deze maatregelen zijn gerealiseerd, kunnen 
concrete aanvullende acties worden ingezet om maatregel 9 te verwezenlijken. Het Opdrachtgeverberaad zal een 
werkgroep aanstellen die in 2015 van start kan gaan. De concrete acties die uit deze werkgroep voortkomen, 
worden afgestemd op de maatregelen 1 en 2. Om die reden worden eerst de maatregelen 1 en 2 afgerond, 
waarna de concrete acties voor deze maatregel verder kunnen worden verkend. De doorlooptijd van deze 
maatregel is daarmee mede afhankelijk van de doorlooptijden van maatregelen 1 en 2. 

Ook bij de ketenbrede awareness-campange zal aandacht worden besteed aan het omgaan met 
privacygevoelige gegevens. Maatregel 4 ondersteunt daarmee maatregel 10. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen hebben de toegang tot privacygevoelige gegevens geregeld via het autorisatiesysteem. 
Wanneer we spreken over het authenticatiebeleid, dan geldt voor alle Suwi-partijen dat het authenticatiebeleid 
breder is dan alleen Suwinet. De Suwi-partijen kennen allen een breed, integraal authenticatieplan binnen hun 
organisaties. 

De Informatiebeveiligingsdienst (IBD) van KING heeft in opdracht van de VNG diverse tools ontwikkeld waarbij 
authenticatie en bepaling van de risicoklasse in beeld komt. Deze informatie is vertrekpunt voor de VNG. VNG 
kan haar leden adviseren over authenticatie, niet voorschrijven om bepaalde vormen van authenticatie toe te 
passen. 

Welk effect verwachten de Suwi-partijen van deze maatregel? 

De Suwi-partijen verwachten dat naarmate de rollen en autorisaties beter zijn toegespitst, het veel minder 
mogelijk is om privacygevoelige gegevens in te zien. Voor medewerkers die wel geautoriseerd zijn om deze 
gegevens in te kunnen zien, geldt dat de awareness-campagne hen bewuster zal laten omgaan met het inzien 
van deze gegevens en dat de gerichte controle door de gebruiksrapportages ertoe zal leiden dat deze 
privacygevoelige gegevens minder (onnodig) worden ingezien. Mogelijk borgt een zwaarder authenticatieniveau 
voor deze gegevens nog meer veiligheid. Dit moet worden onderzocht. 

Het uitvoeren van de maatregelen 1, 2 en 4 is een randvoorwaarde voor het realiseren van deze maatregel. 
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2 Maatregelen door het Ministerie van SZW 


De in hoofdstuk 1 beschreven maatregelen die de Suwi-partijen nemen, zijn op zichzelf niet voldoende om alle 
gesignaleerde kwetsbaarheden weg te nemen. Ook de wet- en regelgeving rondom Suwinet moet worden herijkt. 
Dit is randvoorwaardelijk voor het realiseren van de maatregelen die de Suwi-partijen ter hand gaan nemen. Voor 
de Suwi-partijen is het daarom zeer belangrijk dat SZW hier direct mee start. De Suwi-partijen beseffen dat de 
herijking een gezamenlijke inzet vereist en bieden daartoe ondersteuning aan. 


2.1 Samenstelling maatregelen 

De maatregelen waarvoor de Suwi-partijen SZW vragen om het initiatief te nemen, zijn: 

11. Herijken van wet- en regelgeving SUWI 

12. Levering van informatie in plaats van gegevens 

13. Transparantie naar de burger 

14. Afsluitbeleid 

De Suwi-partijen zien een tweedeling tussen de maatregelen waarbij het Ministerie van SZW het voortouw neemt. 
Namelijk: maatregel 11 en 14, die op korte termijn dienen te worden gerealiseerd, en de maatregelen 12 en 13, 
die een langere beleidsvoorbereidende periode zullen vergen. 


2.2 Maatregelen door het Ministerie van SZW 

Hieronder wordt een beschrijving gegeven van de maatregelen waarbij de Suwi-partijen het Ministerie van SZW 
vragen om initiatief te nemen. 


Maatregel 11: Herijken van wet- en regelgeving Suwi 
Wat stellen de Suwi-partijen voor? 

De Suwi-partijen stellen drie acties voor omtrent het herijken van de Suwi wet- en regelgeving: 

Actie 1: De Suwi-partijen willen samen met het Ministerie van SZW onderzoeken of de te volgen procedures 
en/of het wettelijk kader - voor het toetsen van doelbinding en proportionaliteit bij gegevensleveringen - moeten 
worden verduidelijkt of aangepast .Deze actie vloeit voort uit maatregel 1 - ontwikkeling en invoering van een 
meer fijnmazige autorisatiestructuur bij gemeenten. Mogelijk is er onvoldoende aandacht voor het toetsen van 
doelbinding en proportionaliteit bij gegevensuitwisseling binnen de Suwi-keten. Bij levering van gegevens aan 
niet-Suwi-partijen toetst de bronhouder altijd op doelbinding en proportionaliteit. De uitkomst hiervan is het 
leveren van een beperkte gegevensset. Deze werkwijze willen de Suwi-partijen ook hanteren voor 
gegevensuitwisselingen binnen de Suwi-keten. 

Actie 2: Mogelijk moeten de voorwaarden die voortkomen uit maatregel 3 - ontwikkeling en vaststelling 
aansluitvoorwaarden en gebruiksvoorwaarden Suwinet-inlezen - vervolgens worden vastgelegd in wet- en 
regelgeving. Het Opdrachtgeverberaad zal een werkgroep aanstellen die de opdracht krijgt om passende 
aansluitvoorwaarden en gebruiksvoorwaarden te ontwikkelen. 

Actie 3: VNG heeft eerder namens gemeenten aangegeven dat de verantwoordingsrichtlijn niet goed aansluit bij 
de wijze waarop gemeenten verantwoordelijkheid willen nemen. VNG wil daarom zo snel mogelijk een wettelijk 
kader realiseren voor de verantwoording door gemeenten. Deze actie vloeit uit maatregel 6 - Herijking 
normenkader en verantwoordingsrichtlijn Suwi in het licht van BIR/BIG. In dit wettelijk kader zou geregeld moeten 
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worden dat colleges van B&W zich jaarlijks voor de raad verantwoorden over het informatiebeveiligingsbeleid en 
de uitvoering daarvan. Dit zou gekoppeld moeten worden aan de jaarlijkse P&C-cyclus. Aan het niet plaatsvinden 
van de verantwoording kan een sanctie gekoppeld worden. Daarbij is het van belang dat dit wettelijk kader geldt 
voor alle gegevensuitwisselingen en dat hierbij geen onderscheid wordt gemaakt tussen Suwi-taken en niet-Suwi- 
taken. De Suwi-partijen hebben in hun reactie aan de Minister en Staatssecretaris op het rapport “Privacyimpact 
assessment Suwinet" reeds aangegeven dat zij adviseren om het bestaande wettelijk kader rondom Suwinet te 
herijken en in lijn te brengen met de ontwikkeling van de overheidsbrede gegevensuitwisseling. De Suwi-partijen 
vragen de bewindslieden van SZW om bij de Minister van BZK aan te dringen op een wettelijke basis hiertoe. 

Bovenstaande kwetsbaarheden worden ook benoemd in de PIA. Daarnaast wordt in de PIA gepleit voor een 
algehele herijking van de wet- en regelgeving rondom Suwinet. Deze wordt als zeer complex ervaren, evenals de 
privacywetgeving. De PIA concludeert dat de WBP-verantwoordelijkheid niet heel eenvoudig is te reconstrueren, 
omdat het nergens expliciet is vastgelegd. Ook aan deze aspecten zou aandacht moeten worden besteed bij de 
herijking van de wet- en regelgeving. Een andere reden om de wet- en regelgeving rondom Suwinet te herijken, is 
dat deze zeer verouderd is. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen ondervinden hinder van de verouderde wet- en regelgeving die niet meer uitsluit bij de huidige 
gegevensuitwisselingen. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Dat de wet- en regelgeving en de uitvoering van gegevensuitwisseling weer op elkaar aansluiten en dat de 
gesignaleerde kwetsbaarheden worden weggenomen. 


Maatregel 12: Levering van Informatie in plaats van gegevens 
Wat stellen de suwi-partners voor? 

De Suwi-partijen stellen voor om samen met het Ministerie van SZW de mogelijkheid te onderzoeken om te 
werken op basis van informatie in plaats van gegevens. Dit betekent dat de medewerker in plaats van de exacte 
gegevens over een persoon, een antwoord krijgt op een vraag. Bijvoorbeeld: de leeftijdsgrens voor een bepaalde 
uitkering is 18 jaar. De medewerker krijgt nu de daadwerkelijke leeftijd van een persoon te zien. Wanneer we naar 
een systeem gaan met informatieleveringen, krijgt de medewerker antwoord op de vraag of de persoon jonger of 
ouder is dan 18 jaar. 

Volgens de Suwi-partijen begint een dergelijk onderzoek naar informatieleveringen met het doorlichten van de 
huidige materiewetgeving en - regelgeving. Veel wet- en regelgeving schrijft namelijk (indirect) het gebruik van 
exacte gegevens voor. Bij nieuwe wet- en regelgeving zou hier rekening mee kunnen worden gehouden. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

De Suwi-partijen werken nu op basis van gegevens, omdat de huidige wet- en regelgeving (indirect) het gebruik 
van exacte gegevens voorschrijft. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Het onderzoek moet hier inzicht in geven. Het effect van deze maatregel is zeer afhankelijk van de geschiktheid 
van de systemen van de Suwi-partijen voor het verwerken van informatie in plaats van gegevens. 
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Maatregel 13: Transparantie naar de burger 


Wat stellen de Suwi-partijen voor? 

De Suwi-partijen stellen voor om samen met het Ministerie van SZW scenario’s uit te werken om de burger te 
informeren over het gebruik van zijn of haar gegevens dan wel inzicht te bieden in “wie heeft mijn gegevens 
opgevraagd?". Dit is in lijn met de aankomende strengere Europese privacyverordening die naar verwachting nog 
strenger zal zijn. Ook in de PIA wordt hiernaar verwezen. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

Een dergelijke mogelijkheid bestaat thans nog niet. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Dat moet het onderzoek uitwijzen. De Suwi-partijen vragen bij de uitwerking van deze maatregel wel aandacht 
voor een aantal zaken: 

• Het is van belang om eerst te formuleren hoe we gegevens willen en kunnen volgen tussen bronnen en 
afnemers. Vervolgens kan worden uitgewerkt hoe de burger daarover geïnformeerd kan worden. 

• Aangescherpte regelgeving uit Brussel wordt binnen nu en 2, 3 jaar verwacht. Het is wenselijk om eerst te 
bezien wat deze regelgeving van overheidsinstellingen vraagt. 

Daarnaast zijn de Suwi-partijen van mening dat het bieden van transparantie van de burger een vraagstuk is dat 
niet alleen vanuit Suwinet benaderd zou moeten worden, maar overheidsbreed. Het gaat erom dat de gegevens 
veilig worden uitgewisseld met de nodige privacy-waarborg. Een specifieke aanpak voor Suwinet sluit hier niet op 
aan. Het is wenselijk om aan te sluiten op een meer generieke benadering. 


Maatregel 14: Afsluitbeleid 
Wat stellen de Suwi-partijen voor? 

De gesignaleerde tekortkomingen in de beveiliging bij het gebruik van via Suwinet uitgewisselde gegevens door 
gemeenten, hebben aanleiding gegeven om onderzoek te doen naar Afsluitbeleid. Het Ministerie van SZW denkt 
hierbij aan een escalatieprotocol naar een tijdelijke opschorting van het leveren van gegevens aan gemeenten via 
Suwinet. Dit zou een passende maatregel kunnen zijn om een zorgvuldig gegevensgebruik af te dwingen. 

Het Ministerie van SZW zal het initiatief nemen om dit onderzoek te starten. De Suwi-partijen stellen voor dat zij 
tijdig bij deze beleidsvoorbereiding worden aangehaakt. Vervolgens zullen de Suwi-partijen een bestuurlijke toets 
doen om de uitvoerbaarheid van de regeling in beeld te brengen. 

Wat is de status van deze maatregel bij de Suwi-partijen? 

Er is momenteel geen afsluitbeleid. 

Welk effect verwachten de Suwi-partijen van de maatregel? 

Dit moet nog worden onderzocht. De Suwi-partijen merken wel op dat partijen die worden afgesloten vanwege 
misbruik ook geen gegevens meer kunnen leveren. Dit heeft gevolgen voor andere afnemers en voor burgers die 
door deze afnemers worden bediend. Hiermee dient rekening te worden gehouden bij het uitwerken van deze 
maatregel. 
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3 


Beheermaatregelen voor het systeem Suwinet 


3.1 Veilig transport via Suwinet 

In hoofdstuk 1 en 2 beschreven de Suwipartijen de maatregelen die zij gaan treffen om een veiliger gebruik van 
gegevens te bewerkstelligen, alsmede de maatregelen die het Ministerie van SZW gaat nemen. Naast een veilig 
gebruik van gegevens is het ook van groot belang dat de gegevensuitwisseling via het systeem Suwinet veilig 
plaatsvindt. 

UWV is ingevolge het Besluit SUWI verantwoordelijk voor de inrichting en het beheer van Suwinet. Het feitelijke 
beheer van Suwinet ligt bij BKWI, een apart en herkenbaar organisatieonderdeel van UWV. BKWI zorgt voor de 
technische aansluiting van afnemers op de voorziening Suwinet en voor het functioneel beheer van het systeem. 

Omdat de verantwoordelijkheid voor het treffen van maatregelen, die betrekking hebben op de beheertaak van 
Suwinet bij UWV als beheerder ligt, zijn de maatregelen met betrekking tot het beheer als een apart hoofdstuk 
opgenomen in het Programmaplan . 

Aanleiding voor de maatregelen in dit hoofdstuk zijn de brief van 20 mei 2014 van de Minister van SZW aan 
UWV, om de door de Inspectie SZW geconstateerde tekortkomingen op het terrein van de privacy en beveiliging 
van Suwinet op te lossen, en het Rapport van het CBP van 17 juli 2014 met voorlopige bevindingen onderzoek 
toegang Suwinet voor niet-Suwipartijen. 

Hieronder worden de beheermaatregelen beschreven die UWV en BKWI gaan nemen. 


3.2 Beheermaatregelen Suwinet 

UWV en BKWI zullen de volgende maatregelen treffen ter verbetering van het beheer: 

1. Beveiligingsplan 

Het Beveiligingsplan van BKWI (als beheerder van Suwinet) is voor het laatst in 2011 geëvalueerd. Het op 5 
juni 2014 vastgestelde Beveiligingsplan moet geactualiseerd worden. 

UWV zal samen met BKWI zorgen voor een evaluatie en actualisering van het Beveiligingsplan BKWI met 
hernieuwde vaststelling in 2014. Het Beveiligingsplan zal daarbij worden aangevuld ten aanzien van het 
gebruik van Suwinet door BKWI voor de uitvoering van beheeractiviteiten en voor de uitvoering van de 
ondersteunende activiteiten ten dienste van de afnemer. 

2. Continuïteitsplan 

Het Continuïteitsplan Suwinet is niet acueel. UWV zal samen met BKWI zorgen voor een evaluatie en 
actualisering van het Continuïteitsplan Suwinet met hernieuwde vaststelling in 2014. In dit plan zal ook de 
organisatorische uitwijk van Suwinet worden vastgelegd. 

De Raad van Bestuur van UWV heeft daarnaast de Accountantsdienst van UWV opdracht gegeven tot een 
audit van de continuïteitsmaatregelen van Suwinet. De audit zal in oktober 2014 aan de Raad van Bestuur 
worden opgeleverd. Indien de uitkomsten van de audit aanleiding geven tot nadere maatregelen, zullen die 
aan het Programmaplan worden toegevoegd. 


Programmaplan ‘Borging veilige gegevensuitwisseling via Suwinet’ 


26 



3. Procedure inzake beveiligingsincidenten 

BKWI beschikt niet over een adequate procedure inzake beveiligingsincidenten. 
Elke Suwipartij dient te beschikken over een procedure voor het analyseren en het trekken van lering uit 
incidenten en zorgt ervoor dat het beleid en maatregelen overeenkomstig worden aangepast. In de Keten 
SLA 8 is een incidentenprocedure opgenomen, die ziet op partij-overstijgende incidenten en de rol van de 
beheerder daarin. De door BKWI daartoe gehanteerde incidentenprocedure voldoet niet aan de eisen, die 
aan een dergelijke procedure moeten worden gesteld. 

UWV zal samen met BKWI zorgen voor de ontwikkeling en de vaststelling van een adequate procedure 
inzake beveiligingsincidenten. Vaststelling zal plaatsvinden na afstemming met het Opdrachtgeverberaad. 

4. Een formeel vastgestelde en gedocumenteerde procedure met betrekking tot het toekennen van 
autorisaties. 

BKWI beschikt niet over een formeel vastgestelde en gedocumenteerde procedure met betrekking tot het 
toekennen van autorisatie aan de gebruikersbeheerder. 

UWV zal samen met BKWI als beheerder van Suwinet zorg dragen voor de vaststelling van een 
gedocumenteerde procedurebeschrijving met betrekking tot de autorisatie van de gebruikersbeheerder van 
de afnemer. Daarbij wordt bezien of en welk deel van de beschrijving in de overeenkomst moet worden 
opgenomen. Vaststelling zal plaatsvinden na afstemming met het Opdrachtgeverberaad. 

N.B.: De afnemer is verantwoordelijk voor het toekennen en formeel vastleggen van autorisaties binnen zijn 
organisatie. 


8 Service Level Agreement (SLA) is de overeenkomst tussen de partijen die via de Gezamenlijke elektronische Voorziening 
Suwi (GVS) gegevens uitwisselen. 
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4 Uitvoering en verantwoording 


4.1 Organisatie Programmaplan 

Om de voortgang te borgen van de maatregelen die de Suwi-partijen nemen, zal het Opdrachtgeverberaad op 
korte termijn een programmamanager aanstellen. De programmamanager krijgt de opdracht om te sturen op de 
voortgang van de maatregelen, op de samenhang en volgtijdelijkheid van de maatregelen, en op de afstemming 
tussen de partijen. 

Iedere Suwi-partij stelt tevens een projectleider aan die alle zaken omtrent het Programmaplan binnen de 
desbetreffende organisatie coördineert. Deze projectleiders worden het aanspreekpunt voor de bestuursleden 
van de desbetreffende organisatie en voor de Programmamanager. Het Opdrachtgeverberaad zal samen met de 
programmamanager de verdere organisatie voor de uitvoering van het Programmaplan inrichten. 

De Programmamanager valt onder de directe verantwoordelijkheid van het Opdrachtgeverberaad. Het 
Opdrachtgeverberaad heeft ervoor gekozen om de Programmamanager operationeel gezien bij VNG te 
positioneren. De reden hiervoor is dat de grootste verbeterslag op het gebied van privacy en beveiliging bij de 
gemeenten gerealiseerd moet worden. 

Zoals in het Programmaplan aangegeven, is een gelijktijdige herijking van wet- en regelgeving van groot belang 
voor het slagen van de maatregelen in het programmaplan. Daarnaast is afstemming - over inhoud en voortgang 
van de maatregelen Suwipartijen en maatregelen SZW - tussen de Suwipartijen en SZW noodzakelijk voor de 
realisatie van de maatregelen. Om die reden verzoeken de Suwi-partijen het Ministerie om voor de maatregelen 
van SZW een aanspreekpunt (projectleider) binnen het Ministerie aan te wijzen, die tevens zorg draagt - samen 
met de programmamanager - voor de inrichting van gezamenlijke werkgroepen, de planning in relatie tot de 
benodigde en beschikbare capaciteit en de voortgangsbewaking van het programma. 

Het Opdrachtgeverberaad wil hierover graag afspraken maken met het Ministerie van SZW. 


4.2 Voortgang en verantwoording 

Om de uitvoering en voortgang van de maatregelen te borgen, zal de stand van zaken van de maatregelen uit het 
Programmaplan bij iedere vergadering van het Opdrachtgeverberaad worden besproken. Het Programmaplan 
wordt een vast agendapunt bij de vergaderingen van het Opdrachtgeverberaad. 

De Suwi-partijen willen zich daarnaast richting het Ministerie van SZW verantwoorden over de voortgang van het 
Programmaplan. Het Opdrachtgeverberaad zal daartoe de bewindslieden van SZW informeren over de uitvoering 
van het Programmaplan en de daarin opgenomen maatregelen door middel van een halfjaarlijkse rapportage. De 
eerste halfjaarlijkse rapportage omvat het tijdvak oktober 2014 tot en met maart 2015 en zal ultimo april 2015 
worden opgeleverd. De werkgroepen voor de maatregelen van de eerste drie categorieën worden in 
september/oktober 2014 samengesteld en kunnen daarna direct van start gaan. 

De verantwoordelijkheid voor de implementatie en realisatie van de maatregelen ligt bij de afzonderlijke partijen 
zelf. Dit geldt ook voor de monitoring en het afleggen van verantwoording over het gebruik van gegevens en de 
borging van de privacy. 
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4.3 Financiën 


Het Ministerie van SZW heeft aangegeven in 2014 een budget beschikbaar te stellen van € 500.000 voor het 
eerste deel van de uitvoering van het programmaplan. De Suwi-partijen dragen zelf bij door het beschikbaar 
stellen van capaciteit voor de werkgroepen en de projectcoördinatie. De Suwi-partijen stellen voor om uit het 
bovengenoemde budget vooralsnog de programmamanager van de Suwi-partijen te financieren en de incidentele 
kosten van maatregel 2. Van de overige maatregelen zal de financiële impact eerst moeten worden vastgesteld 
na de onderzoeksfase of na de nadere uitwerking van de maatregel. 

Het Opdrachtgeverberaad treedt graag met het Ministerie van SZW in overleg over de financiering van de uit het 
Programmaplan voortkomende incidentele en structurele kosten, en over de keuzes die gemaakt moeten worden 
indien de kosten gezamenlijk het beschikbaar gestelde budget overschrijden. Dit laatste sluiten de Suwi-partijen 
niet uit, mede omdat bij relatief veel maatregelen de financiële impact pas in beeld kan worden gebracht na een 
onderzoeksfase of nadere uitwerking van de maatregel door de betreffende werkgroepen. 
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Bijlage 1 Samenhang tussen de maatregelen 


In deze bijlage wordt ingegaan op de samenhang tussen de maatregelen. Daarnaast wordt aangegeven hoe de 
maatregelen bijdragen aan het wegnemen van de eerder gesignaleerde kwetsbaarheden. 

Categorie 1 - prioritaire maatregelen randvoorwaardelijk vooralle andere maatregelen 

1. Ontwikkeling en invoering van een meer fijnmazige autorisatiestructuur bij gemeenten 

2. Verbetering logging en gebruiksrapportages 

De maatregelen van categorie 1 dragen direct bij aan een veiliger gebruik van gegevens via Suwinet. Door een 
zorgvuldige toedeling van rollen en autorisaties en een gerichte, snelle controle op het inzien van gegevens, 
wordt misbruik van gegevens voorkomen. Indien misbruik toch voorkomt, wordt dit zeer snel gesignaleerd en 
volgen sancties - in het meest vergaande geval ontslag (maatregel 5). Van deze maatregelen gaat ook een 
preventieve werking uit. Zij dragen tevens bij aan het wegnemen van een aantal gesignaleerde kwetsbaarheden: 
mismatch tussen risicoprofiel en beveiligingsmaatregelen, groot aantal gebruikers heeft toegang tot veel 
gegevens, onvoldoende beveiligingsmaatregelen bij gemeenten, en afnemende transparantie over feitelijk 
gegevensgebruik. 

De maatregelen van categorie 1 zijn randvoorwaardelijk voor het realiseren van de maatregelen die behoren tot 
categorie 4. De Suwi-partijen willen om die reden hoge prioriteit geven aan deze twee maatregelen. Een goede 
toedeling van rollen en autorisaties beperkt de toegang tot gegevens waar mogelijk. Waar het beperken of 
afsluiten van de toegang tot gegevens niet mogelijk is (omdat wettelijke taken anders niet kunnen worden 
uitgevoerd), kan het controlesysteem - via het snel kunnen opvragen van specifieke rapportages - hierop worden 
ingericht. 

Maatregel 1 heeft samenhang met een van de maatregelen waarbij de Suwi-partijen SZW vragen het initiatief te 
nemen, namelijk het herijken van de wet- en regelgeving rondom Suwinet. Om maatregel 1 te realiseren, is 
mogelijk aanpassing van wet- en regelgeving nodig. 

Categorie 2 - prioritaire maatregelen met een meer autonoom karakter 

3. Ontwikkeling en vaststelling aansluitvoorwaarden en gebruiksvoorwaarden Suwinet-inlezen 

4. Ketenbrede awareness campagne 

Naast de maatregelen uit categorie 1 dienen ook de maatregelen uit categorie 2 prioriteit te krijgen. Prioriteit voor 
maatregel 3 is van groot belang, omdat uit onderzoek is gebleken dat de aansluitvoorwaarden en 
gebruiksvoorwaarden Suwinet op Suwinet-inlezen moeten worden aangepast. 

Maatregel 4 behoeft prioriteit, omdat het van groot belang is dat medewerkers en managers in de hele Suwi-keten 
zich nog meer bewust worden van de consequenties van het inzien en gebruik van persoonsgevoelige gegevens. 
Deze maatregel vertoont tevens samenhang met de maatregelen 5, 8, 9 en 10. Bij de ketenbrede awareness 
campagne zal aandacht worden besteed aan hoe om te gaan met het zoeken naar gegevens, het inzien van 
gegevens en het omgaan met privacygevoelige gegevens. Daarnaast worden medewerkers nog bewuster 
gemaakt van de gevolgen van oneigenlijk gebruik of misbruik van gegevens. De samenhang met diverse andere 
maatregelen is een tweede reden om ook maatregel 4 prioriteit te geven. 

De maatregelen van categorie 2 dragen tevens bij aan het wegnemen van een aantal gesignaleerde 
kwetsbaarheden: mismatch tussen risicoprofiel en beveiligingsmaatregelen, onvoldoende 

beveiligingsmaatregelen bij gemeenten, afnemende transparantie over feitelijk gegevensgebruik, en het 
ontbreken van aansluitvoorwaarden voor de applicatie Suwinet-inlezen, alsmede de traceerbaarheid van 
gegevens die via Suwinet-inlezen worden gebruikt. 
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Categorie 3 - onderzoeksmaatregelen die duiden of en hoe richtlijnen en beleid aanpassing behoeven 

5. Beleid inzake misbruik van gegevens door medewerkers 

6. Herijking normenkader en verantwoordingsrichtlijn Suwi in het licht van BIR/BIG 

7. Telewerken en doorlevering van gegevens 

Met de maatregelen in categorie 3 gaan de Suwi-partijen onderzoeken of beleid en richtlijnen dienen te worden 
aangepast. Het betreft onderzoeken die op korte termijn starten en die naar verwachting in 2015 tot concrete 
acties kunnen leiden. 

Maatregel 5 is een aanvulling op de maatregelen uit categorie 1. Door de beperking van de toegang tot gegevens 
waar mogelijk, en de snelle, gerichte controle achteraf op het inzien van gegevens, wordt oneigenlijk gebruik en 
misbruik snel gesignaleerd. Met maatregel 5 vindt afstemming van beleid inzake oneigenlijk gebruik en misbruik 
plaats. 

Met de maatregelen 6 en 7 onderzoeken de Suwi-partijen of het nodig is om beleid en/of richtlijnen aan te 
scherpen of aan te passen. Uit deze onderzoeken komt mogelijk het verzoek van de Suwi-partijen aan SZW voor 
tot aanpassing van wet- en regelgeving. Bij het actualiseren dient tevens rekening te worden gehouden met de 
toegang tot privacy-gevoelige gegevens (maatregel 10) en met de voorwaarden voor telewerken (nieuwe werken 
en ‘bring your own device') en doorleveren (maatregel 7). Deze maatregelen dragen tevens bij aan het 
wegnemen van een aantal gesignaleerde kwetsbaarheden: onduidelijke verantwoordingsrichtlijnen en 
normenkaders, het ontbreken van een wettelijke basis voor de verantwoording van gemeenten, mismatch tussen 
risicoprofiel en beveiligingsmaatregelen, ineffectieve verantwoording door gemeenten, onvoldoende 
beveiligingsmaatregelen bij te veel gemeenten en afnemende transparantie over feitelijk gegevensgebruik. 

De realisatie van deze maatregelen heeft minder prioriteit dan de realisatie van de maatregelen in categorie 1 en 
2,. De onderzoeken zullen op korte termijn worden gestart. 

Categorie 4 - vervolgmaatregelen op maatregelen categorie 1 

8. Beperking zoekmogelijkheden in Suwinet-inkijk 

9. Beperking toegang Suwinet tot personen relevant voor werkzaamheden medewerker 

10. Analyse van gegevens van bepaalde risicoklassen 

De maatregelen van categorie 4 kunnen bijdragen aan het wegnemen van een aantal gesignaleerde 
kwetsbaarheden: een groot aantal gebruikers heeft toegang tot veel gegevens, ontbreken van duidelijke 
verantwoordingsrichtlijnen en normenkaders, mismatch tussen risicoprofiel en beveiligingsmaatregelen, 
onvoldoende beveiligingsmaatregelen bij te veel gemeenten en afnemende transparantie over feitelijk 
gegevensgebruik. 

Het beperken van de zoekmogelijkheden en de toegang tot Suwinet en het verzwaren van het 
authenticatieniveau (categorie 4) wordt nader onderzocht na realisatie van een fijnmazigere autorisatiestructuur 
(maatregel 1). Eerst dan kan goed in beeld worden gebracht welke aanvullende maatregelen (8, 9 en 10) 
noodzakelijk zijn en wat daarvan de impact is op de reguliere processen en systemen. De Suwi-partijen merken 
bij deze maatregelen op dat zij spanning signaleren tussen enerzijds de wens om de toegang tot 
persoonsgegevens te beperken; en anderzijds de wens om de uitvoering van complexe wet- en regelgeving 
(waarbij steeds meer gegevens van meer personen moeten worden ingezien) 9 op een zo efficiënt mogelijke 
manier in te richten. Binnen dit kader zullen de Suwi-partijen zich maximaal inspannen om de kwetsbaarheden op 
het gebied van privacy en beveiliging rondom Suwinet te minimaliseren. Dit betekent dat de invoering van een 
maatregel mede afhankelijk zal zijn van een weging van de impact van de maatregel op de inrichting van de 
bedrijfsprocessen en systemen. 


9 Voorbeelden zijn: verhaal op ex-partner, introductie kostendelersnorm, controles i.v.m. fraude en handhaving. 
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Bij de ketenbrede awareness-campagne (maatregel 4) wordt tevens aandacht besteed aan de maatregelen uit 
categorie 4. 


Maatregelen SZW 

De maatregelen die de Suwi-partijen nemen, zijn echter niet voldoende. Ook de wet- en regelgeving rondom 
Suwinet moet worden herijkt. Dit is randvoorwaardelijk voor het realiseren van de maatregelen die de Suwi- 
partijen ter hand gaan nemen. Voor de Suwi-partijen is het daarom zeer belangrijk dat het Ministerie van SZW en 
de Suwipartijen gelijktijdig uitvoering gaan geven aan de in het programmaplan opgenomen maatregelen. 

De maatregelen waarvoor de Suwi-partijen SZW vragen om het initiatief te nemen, zijn: 

11. Herijking van wet- en regelgeving SUWI 

12. Levering van informatie in plaats van gegevens 

13. Transparantie naarde burger 

14. Afsluitbeleid 

De Suwi-partijen zien hier een tweedeling tussen de maatregelen 11 en 14, waarmee op korte termijn moet 
worden gestart, en de maatregelen 12 en 13, die een langere beleidsvoorbereidende periode zullen vergen. 

Maatregel 11 is een randvoorwaarde voor het realiseren van maatregelen 1, 3 en 6. Het is daarom van belang 
voor de Suwi-partijen dat SZW deze maatregel samen met de Suwipartijen op korte termijn oppakt. Deze 
maatregel is de basis voor het wegnemen een aantal gesignaleerde kwetsbaarheden, namelijk: gebrek aan 
effectieve, stelselbrede governance, complexe en onduidelijke wet- en regelgeving rondom Suwinet, onduidelijke 
privacywetgeving, en ineffectieve verantwoording door gemeenten. 
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Bijlage 2 Schematisch overzicht van de maatregelen en financiële effecten 
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